La lotta tra il bene e il male non conosce alcuna quarantena di sorta. Se ciò avviene nel mondo reale fisico, figurarsi in quello virtuale dove i criminali informatici trovano sempre un modo per agire, costringendo autorità, esperti di sicurezza e software house a rincorrerli costantemente per precludere loro le opportunità il prima possibile. I sistemi operativi Apple sono considerati un bottino pregiato, visto che rinvenire falle in essi può offrire ai malintenzionati potenziali vittime di alto profilo, e questo fa inevitabilmente più notizia rispetto al malware per Windows e Android che ha un target più di massa. Nelle ultime ore Motherboard ha pubblicato i dettagli di due vulnerabilità rinvenute nell’app Mail nativa di iOS, per fortuna con le buone notizie già dietro l’angolo.

Scoperte dall’azienda ZerOps, sarebbero sfruttate dai malintenzionati da diverso tempo e sul piano tecnico il loro target d’impatto risalirebbe nel tempo sino addirittura ad iOS 6. Le due falle sono legate tra loro: si parte da un’email particolare, in grado di provocare un consumo anomalo di risorse sul dispositivo. Questa prima vulnerabilità fa da apripista alla seconda, che consente poi effettivamente di prendere il controllo del client Mail del malcapitato, con la capacità di trafugare e cancellare messaggi. Il secondo bug può anche essere sfruttato da solo, senza dover passare per il sovraccarico di memoria, che si ritiene sia un bug scoperto ed utilizzato in via accidentale.

A parte una marcata lentezza dell’app, l’utente non si accorge pressoché di nulla. Il resto dei contenuti personali non viene intaccato e i criminali hanno cura di eliminare le email-trappola prima di concludere l’operazione al fine di non lasciare tracce. Curiosamente, una modifica apportata in Mail nella gestione dei dati in memoria rende iOS 13 sì più resistente agli exploit, ma quando riescono nel loro intento sono ancor più efficaci in quanto non è necessaria alcuna attività preliminare da parte del malcapitato; in iOS 12 ed inferiori, invece, è necessaria l’apertura dell’email per far scattare il tutto, a meno che non risulti compromesso pure il server di posta. Quest’ultima strada può anche essere la prediletta quando si tratta di un server privato: l’attacco a caselle legate a piattaforme pubbliche come Gmail può infatti risultare più complicato, dal momento che i loro sistemi anti-spam non di rado bloccano email di grosse dimensioni o ricezioni massicce ravvicinate di messaggi.

Veniamo ora alle buone notizie. A meno che non siate politici importanti, giornalisti o dirigenti di aziende multimiliardarie, più in generale personaggi molto in vista, le possibilità di essere nel mirino di questi exploit sono prossime allo zero. Il loro obiettivo sono informazioni confidenziali, da poter riutilizzare e rivendere. Se si utilizzano altri client di posta come Outlook o Spark, è sufficiente rimuovere l’app Mail di sistema per stare al sicuro fino al bugfix. Infine, proprio a questo proposito, ZerOps ha confermato che Apple sta già provvedendo ad implementarli. Sono già presenti nelle Beta di iOS 13.4.5, dunque raggiungeranno tutti i dispositivi supportati nelle prossime settimane col rilascio finale pubblico. Non è da escludere che un nuovo aggiornamento di sicurezza possa pure raggiungere iOS 12.4, in scia a quelli già arrivati negli ultimi mesi.