Apple, nuovo bug affligge iPhone e Mac: i rischi per gli utenti
I ricercatori informatici di Google hanno scoperta una pericolosa vulnerabilità che colpisce tutti i dispositivi Apple, compresi smartphone e computer
Brutta notizia per gli Apple fan: iOS, macOS, watchOS e tvOS, cioè tutti i sistemi operativi di tutti i device della mela morsicata, sono vulnerabili ad un attacco hacker che non richiede alcun intervento da parte dell’utente. Una vulnerabilità, come si dice in gergo tecnico, “zero-click“.
Lo hanno scoperto i ricercatori del Project Zero, cioè il team di Google che si occupa di scovare le vulnerabilità e i bug relativi alla sicurezza nei prodotti e servizi online. Specialmente quelli degli altri competitor. Il bug scovato affligge ImageIO, la API usata sui sistemi operativi Apple per gestire le immagini. In realtà di vulnerabilità, dentro ImageIO, i ricercatori di Google ne hanno trovate ben più di una alle quali si aggiungono altre vulnerabilità collegate nelle librerie per gestire i file grafici OpenEXR. Google ha comunicato ad Apple queste vulnerabilità e il gigante di Cupertino, secondo quanto conferma la stessa Google, le ha già risolte con delle fix contenute negli ultimi aggiornamenti.
Le vulnerabilità scoperte
I ricercatori di Google hanno scoperto che, inviando dati random al framework Apple ImageIO, era possibile causare l’apertura automatica di link senza alcun intervento da parte dell’utente. E, come ben sappiamo, un link è quasi sempre il punto di partenza per un’infezione da malware. Sono ben 6 le falle di questo tipo sfruttabili in ImageIO e addirittura 8 quelle sfruttabili attaccando OpenEXR. Secondo Samuel Gross, ricercatore del Project Zero di Google, Apple dovrebbe fare parecchi test in più sulle sue librerie di sistema per garantire una maggior sicurezza dei suoi utenti.
Tutto risolto
Apple non ha prevenuto questi rischi, ma va detto che li ha risolti nel giro di poco tempo dopo aver ricevuto la segnalazione da parte del Project Zero. Tramite patch rilasciate progressivamente per tutti i sistemi operativi interessati, tra gennaio e aprile 2020, tutte le vulnerabilità scoperte sono state eliminate. Chi ha un dispositivo Apple aggiornato, quindi, non rischia più nulla (ma ha rischiato in passato). Chi invece non aggiorna regolarmente i suoi dispositivi Apple dovrebbe farlo prima possibile. Per evitare di esporsi al rischio di restare vittima di un attacco zero-click.
