Un bug di Messaggi su OS X ha messo a rischio tutti i dati delle nostre conversazioni

Leggi questo articolo grazie alle donazioni di Pietro Baroni, Diego Guiso.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Periodo di duro lavoro per gli ingegneri software di Apple, che si ritrova a correggere continui bug nelle versioni dei propri sistemi operativi. iOS è stato da poco aggiornato alla versione 9.3.1, che ha come unico compito quello di rattoppare le varie falle della precedente 9.3. L’obiettivo non è stato raggiunto, visto che da pochi giorni è nelle mani degli iscritti al Beta Program pubblico una 9.3.2 con ulteriori bugfix. Sembrava che le ultime versioni di OS X fossero esenti da gravi bug, invece una falla in iMessage ha messo a rischio tutti dati contenuti nelle nostre conversazioni.

iMessage

Corretto da Apple nel marzo 2016, il bug CVE-2016-1764 portava alla divulgazione di tutti i contenuti e allegati scambiati attraverso il client Messaggi di OS X, ma questo non esclude sia possibile utilizzarlo con qualche modifica anche su iOS. Il bug non sfrutta nessun sistema complesso di gestione della memoria, né ha necessità di una particolare conoscenza informatica. Tutto l’attacco, infatti, è basato su un semplice programmino in JavaScript, che si attiva mediante un link inviato al malcapitato destinatario. Una volta cliccato, il collegamento estrae i dati dall’applicazione e li esporta ad una fonte esterna. La sicurezza di iMessage impedisce l’installazione di malware o l’accesso da parte di applicazioni esterne al servizio di messaggistica proprietario di Apple, ma rappresenta comunque una significativa violazione ai dati dell’utente, tentato dal cliccare sul link fasullo.

Il video seguente mostra l’attacco in esecuzione:

Il bug è stato scoperto da un trio di ricercatori – Joe Demesy e Shubham Shah, con l’aiuto di Matt Bryant dal team di sicurezza di Uber – che hanno segnalato il tutto ad Apple prima di mostrarne in pubblico i dettagli. Non ci sono prove però che tale vulnerabilità non sia già stata sfruttata in passato per scopi malevoli, prima che essa venisse corretta.

Antonio Chiumiento

Junior Editor - Studente di Ingegneria Informatica con la passione per la tecnologia nel sangue. Utilizzo in parallelo Windows e OS X, quando utilizzo iOS mi sento un po' a casa. Mi piace viaggiare e guardare Serie Tv...

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.