Apple, aggiornate al più presto iOS: risolve un bug pericolosissimo

iOS 15 porterà grandi e attese novità. Quando uscirà, ormai a strettissimo giro di posta. Nel frattempo Apple si è sbrigata a far uscire l’aggiornamento 14.8 per risolvere una grana molto pericolosa.

iOS 15, presto in arrivo (Adobe Stock)
iOS 15, presto in arrivo (Adobe Stock)

Dietro una GIF apparentemente innocua inviata tramite iMessage, si nasconde un probabilissimo guaio. Enorme. Un codice dannoso. L’exploit zero clic FORCEDENTRY, scoperto fra l’altro quest’anno, ha creato non pochi grattacapi, soprattutto perché è stato ricondotto al famigerato spyware Pegasus del gruppo NSO.

Gli exploit zero-click su iMessage non sono esattamente nuovi e potrebbero essere stati uno dei punti di attacco preferiti del gruppo NSO per hackerare gli iPhone. L’anno scorso, i dipendenti di Al Jazeera sono stati vittime di un tale attacco che è stato attribuito all’Arabia Saudita e agli Emirati Arabi Uniti. L’exploit non richiedeva nemmeno che gli obiettivi facessero clic su un collegamento dannoso, ma solo che ricevessero un messaggio appositamente predisposto.

Apple corre ai ripari. Nuove specificità contro Pegasus anche su iOS 15

Apple (Adobe Stock)
Apple (Adobe Stock)

Incidenti simili si sono verificati quest’anno anche dopo che Apple aveva corretto la vulnerabilità precedente. Citizen Lab ha esaminato un iPhone infettato dallo spyware Pegasus del gruppo NSO e ha scoperto tracce di file sospetti con estensione .gif. In verità, tuttavia, questi file erano PDF creati in modo dannoso che sfruttavano un bug nel sistema CoreGraphics di Apple per eseguire codice dannoso.

LEGGI ANCHE >>> Samsung e la mossa che non ti aspetti: Android 12 su Galaxy S21 disponibile in beta

Lo spyware – spiega John Scott-Railton, ricercatore senior di Citizen Lab – permette di fare tutto quello che un utente iPhone è in grado di fare sul proprio dispositivo e anche di più”. Altri malware circolati in precedenza, riuscivano a “infettare” il dispositivo della vittima inviando particolari link. Ma l’exploit zero-click non richiede l’attivazione di link, con tutto ciò che ne consegue: l’utente ha il proprio Melafonino infettato, senza minimamente accorgersene. Una vulnerabilità rara, un’arma letale in mano ad hacker e cybercriminali, uno strumento di hacking fortissimo.

LEGGI ANCHE >>> OnePlus 9RT sta arrivando: la data “provvisoria” scatena l’hype dei fan

Per questo Apple è dovuta correre ai ripari, spingendosi ad aggiornare il suo sistema operativo, con iOS 14.8, macOS Big Sur 11.6 e watchOS 7.6.2, proprio per chiudere quel bug di sicurezza. Per questo bisogna aggiornare al più presto i Melafonini, in particolare quelli coinvolti nella gestione delle informazioni sensibili. Con iOS 15 proprio dietro l’angolo, si spera che anche i giorni degli exploit zero-click relativi al framework CoreGraphics di Apple finiscano.

Il security team di Apple, come confermato anche il New York Times, ha lavorato alacremente per sviluppare un fix dopo che ricercatori del Citizen Lab dell’Università di Toronto avevano scoperto quella gigantesca pericolosità analizzando l’iPhone infettato. Un portavoce di Apple ha riferito a Citizen Lab che a Cupertino stanno pensando seriamente integrare delle specificità contro lo spyware, proprio nei futuri aggiornamenti di iOS 15.