Una vulnerabilità critica è stata individuata in tutti i dispositivi e computer Apple: è sufficiente una sola immagine contraffatta ad hoc per permettere all’attaccante di ottenere tutte le password memorizzate in iPhone, iPad, Mac e persino Apple TV e anche Apple Watch. La buona notizia è che Apple ha già chiuso questa pericolosa vulnerabilità con il rilascio degli ultimi aggiornamenti per iOS, update di sicurezza per Mac, Apple TV e Apple Watch così gli utenti della Mela non devono far altro che scaricare gli aggiornamenti per mettere al sicuro tutti i propri dispositivi.
Lo sfruttamento della falla e le possibili modalità di attacco ricordano il temuto Stagefright, vulnerabilità che a partire da una sola immagine ha messo in pericolo milioni di dispositivi Android lo scorso anno. L’allarme arriva da Tyler Bohan, ricercatore sicurezza senior di Cisco Talos che ha scoperto un bug in ImageIO che gestisce i dati delle immagini in iOS. Secondo quanto riporta Forbes, per gli attaccanti è sufficiente creare un piccolo programma da inserire all’interno di una immagine che poi può essere inviata tramite MMS. Una volta inviata l’utente ricevente non può fare nulla per evitare l’attacco: a sua insaputa il malware può iniziare a scrivere codice superando le barriere di sicurezza di uno strumento di scrittura di Apple.
Ma lo stesso tipo di attacco può funzionare anche su Mac e altri dispositivi Apple tramite Safari, via Internet, semplicemente quando l’utente apre un sito web contenente l’immagine con il malware. La situazione risulta peggiore per gli utenti che hanno sottoposto iPhone e iPad a jailbreak, in questo caso l’attaccante può ottenere l’accesso e il controllo completi dei dispositivi iOS, impossibile invece quando il sistema operativo è integro e protetto con il sandboxing di serie su iOS.
Per facilità di sfruttamento e ampiezza dei dispositivi Apple interessati si tratta di una pericolosa vulnerabilità raramente emersa nell’universo della Mela ma, come anticipato, Cupertino è già corsa ai ripari e la pubblicazione è avvenuta solo dopo il rilascio di tutti gli aggiornamenti che chiudono la falla. La raccomandazione dell’esperto di sicurezza è chiara: tutti gli utenti Apple devono assicurarsi di aver installato tutti gli aggiornamenti software rilasciati da Apple negli ultimi giorni per iPhone, iPad, Mac, Apple TV e Apple Watch. Anche se per ora non vengono segnalati attacchi in corso già eseguiti sfruttando questa falla, malware e pirati potrebbero farlo presto prendendo di mira tutti i sistemi non aggiornati.