Scovata una grave falla di sicurezza in iOS 13 e 12, ma è destinata a durare poco (aggiornato: Apple risponde)

Giovanni Bortolan
Giovanni Bortolan
Scovata una grave falla di sicurezza in iOS 13 e 12, ma è destinata a durare poco (aggiornato: Apple risponde)

Il gruppo ZecOps ha recentemente scoperto due falle di sicurezza all'interno del codice di iOS 13 e iOS 12, una delle quali particolarmente grave in quanto di tipo "zero-click", ovvero che non necessita di nessuna azione da parte della vittima ignara e che può quindi essere sfruttata da remoto.

Nello specifico si tratta di una vulnerabilità dell'app Mail, che consiste nella possibilità da parte di un malintenzionato di eseguire un codice capace di inviare numerose email corrotte alla casella del malcapitato, occupando una grande mole di dati a tal punto da otturare lo smartphone. Il gruppo ZecOps ha poi notato come gli hacker abbiano sempre avuto la premura di eliminare le mail incriminate dai server dopo averle indirizzate ai bersagli.

Sembrerebbe però esserci una falla nella falla: questo intero sistema funzionerebbe solamente con l'app Mail nativa di iOS, rendendo momentaneamente più sicure le alternative come Gmail o Outlook (solamente se utilizzate con le relative app).

Le buone notizie in tutto ciò però sono due: innanzitutto non sono state individuate corrispondenze tra l'uso di questo metodo e i recenti attachi informatici in giro per il globo, mentre nel frattempo Apple ha già risolto questo punto debole a partire dalla beta di iOS 13.4.5.

Aggiornamento 24/04/2020

In seguito alla messa in luce del problema da parte di ZecOps, Apple ha ritenuto opportuno mettere parola nella vicenda, dichiarando come la stessa azienda non abbia rilevato evidenze relative a dei possibili utilizzi di tale vulnerabilità. In ogni caso, ha specificato il produttore, i sistemi di sicurezza insiti nel dispositivo renderebbero pressoché impossibile usufruire di tale falla, che comunque verrà corretta nella nuova versione del software. A seguire il comunicato stampa per esteso.

“Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.”

Aggiornamento

Abbiamo parlato della notizia anche nel nostro podcast, SmartWorld News

Fonte: 9to5mac, The Verge