Alcune falle hanno permesso per diverso tempo di ottenere dati personali da iPhone visitando siti web compromessi

Leggi questo articolo grazie alle donazioni di Data Brite, Andrea Pasqua.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

La battaglia ingaggiata dalle software house contro i malintenzionati, per difendere i nostri dispositivi da attenzioni spiacevoli, non avrà probabilmente mai fine. Fino ad alcuni anni fa, questo non sembrava preoccupare granché Apple, che con la sua quota di mercato non troppo vasta si sentiva marginalmente coinvolta dalle problematiche cui si assisteva già su altre piattaforme e reagiva in modo lento alle minacce che le si presentavano. Oggi a Cupertino hanno preso più sul serio la questione e accelerato molto i tempi di reazione, anche se non ancora in tutte le situazioni. Il caso in esame rientra tra quelli in cui sono stati bravi ma non troppo, nell'ambito di alcune falle piuttosto gravi scoperte dal team di Google Project Zero ad inizio anno.

A partire da iOS 10 nel 2016, arrivando sino ad iOS 12 lo scorso anno, un totale di 14 vulnerabilità ha permesso a 5 diverse tipologie di exploit di agire indisturbate sugli iPhone delle vittime malcapitate. Tecniche diverse l'uno dall'altro, che si possono approfondire dai link dell'articolo sopra raggiungibile, ma tutti con una base ed una finalità comune. La base, un sito web opportunamente compromesso visitato dall'utente. La finalità, l'installazione temporanea di un software apposito, non visibile durante l'uso del dispositivo, in grado di carpire i dati personali e tracciare la posizione, inviando periodicamente il tutto ad un server remoto. Il processo veniva eliminato in caso di spegnimento o riavvio dell'iPhone, ma bastava visitare nuovamente un sito col codice malevolo affinché il circolo riprendesse.

Le falle sono state comunicate da Google ad Apple in forma privata il 1° febbraio scorso, con una clausola di non divulgazione valida per i 7 giorni successivi. Apple non ha perso tempo, correggendole prima della scadenza con iOS 12.1.4, che per l'occasione risolse pure altri bug come quello noto che coinvolse FaceTime di gruppo. Restano però irrisolte su iOS 10, che è l'ultima release per alcuni terminali come iPhone 5, e il recente aggiornamento a sorpresa 10.3.4 non sembra essere andato oltre il correttivo per il GPS; similmente anche iOS 11 rimane vulnerabile, seppure nel suo caso il problema si risolve aggiornando alla versione corrente. Ancor più viene da chiedersi come abbiano fatto questi problemi a persistere per oltre due anni, passando inosservati agli occhi del team di ingegneri di Craig Federighi. Il fattore umano è in questi casi determinante, purtroppo: basta un errore o anche una dimenticanza, dovuta dalla fretta o dall'incuria in quel momento, per far sì che qualcosa d'indesiderato finisca nei rilasci pubblici, come successo pure qualche settimana fa. A maggior ragione sarà fondamentale l'annunciato incremento della cooperazione coi ricercatori di sicurezza, in modo che le forze benigne riescano ad individuare le vulnerabilità più rapidamente ed efficacemente, prevenendone l'uso da parte di criminali che hanno tutto l'interesse a tenersele per sé quanto più a lungo possibile.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.