IPhone, una falla nell'app Mail apre le porte agli hacker: i pericoli
Un'azienda esperta in cybersecurity ha scoperto una vulnerabilità che colpisce l'app Mail di iOS e mette e a rischio i dati degli utenti
Il client di e-mail di Apple, cioè l’app Mail, è pericoloso perché ha una grave vulnerabilità. E da moltissimo tempo: da quando è uscito iOS 6, nel 2012. Lo ha scoperto la società di cybersecurity ZecOps, che è convinta anche che tale vulnerabilità sia stata già sfruttata almeno una volta.
Sfruttando questa vulnerabilità un hacker potrebbe eseguire codice malevolo (ossia un malware o un virus) sul dispositivo di una persona, in alcuni casi anche senza che l’utente debba cliccare su qualche link o scaricare file: è un bug dell’app Mail e di iOS, che può essere sfruttato inviando alla vittima una normale e-mail. Il problema, spiega ZecOps, è che i dispositivi con iOS 13 sono persino più facili da attaccare di quelli con iOS 12 o precedente. Il primo caso reale di attacco che sfrutta questa vulnerabilità, secondo l’azienda di sicurezza elettronica, risale al gennaio 2018 quando è stato attaccato un dispositivo con iOS 11.2.2. La soluzione? Non c’è: Apple non ha ancora rilasciato una patch per il sistema operativo o per Mail che possa chiudere la falla.
Perché l’app Mail è pericolosa
La vulnerabilità scoperta da ZecOps consiste in un bug che permette ad un hacker di eseguire codice da remoto se invia alla potenziale vittima una e-mail che consuma molta memoria RAM. Non serve un messaggio di grandi dimensioni: basta confezionare a dovere l’e-mail per aumentare a dismisura il consumo di memoria. Una volta ottenuto ciò, entra in gioco la vulnerabilità che ZecOps non ha però descritto nei dettagli, per dare il tempo ad Apple di chiudere la falla.
Non serve un click
La vulnerabilità può essere attivata prima che l’intera e-mail venga scaricata, quindi il suo contenuto non rimarrà necessariamente sul dispositivo e, quindi, potrebbe anche non lasciare traccia. E’ possibile che di attacchi di questo tipo ce ne siano stati parecchi, senza che nessuno se ne possa accorgere. Anche perché, su iOS 13, non è necessario che l’utente faccia click su alcun link o che scarichi alcun file allegato. Su iOS 12 o precedenti, invece, è necessaria l’azione da parte dell’utente. In ogni caso, l’attacco parte persino prima che il dispositivo mostri il messaggio e-mail. Non essendoci ancora una patch per questa vulnerabilità ZecOps consiglia a tutti gli utenti Apple di non usare l’app Mail e di sostituirla temporaneamente con un’altra equivalente.
