C’è un bug in una porzione di codice condiviso tra tutti i dispositivi Apple che è in grado di causare un crash di iPhone, iPod e persino computer Mac. Questo quanto sostiene Piergiorgio Zambrini, alias Zibri, in una intervista rilasciata a Fortune.
Il bug, secondo Zambrini, è nella porzione audio del formato video. ‘Conoscendo l’esistenza del bug – spiega Zibri – è possibile scrivere un codice ed incorporarlo in un filmato per mandare in crash iPhone’. Il danno non sarebbe, ovviamente, permanente, ma sufficiente a determinare problemi fastidiosi tra cui tempo perso per il riavvio del dispositivo. Zambrini sostiene anche di avere messo sotto esame il bug per verificare se non sia possibile usarlo per instillare codice arbitrario nel telefono o in altri dispositivi Apple; per ora non ci sarebbero indicazioni in questa direzione ‘ma non possiamo escluderlo a priori’, dice l’intervistato.
Secondo quanto dice Cameron Hotchkies, un esperto di codice Apple di TippingPoint, normalmente Cupertino è molto rapida nel fornire un riscontro su problematiche di questo tipo quando qualcuno le sottopone loro: ‘di solito entro 24 ore qualcuno del team di sicurezza mi risponde dicendomi di essere al lavoro per risolvere il problema, mettendoci al corrente che la tematica è al loro esame’. Zambrini, al momento di rilasciare l’intervista, non avrebbe contattato nessun rappresentante di Apple per segnalare il bug.
L’autore dello sblocco di iPhone ha, invece, qualche tempo fa sottoposto il suo curriculum per il ruolo di esperto di sicurezza per iPhone, una posizione che Apple aveva aperto nei mesi scorsi, ma senza avere alcuna risposta per ora. ‘Normalmente ho la capacità di trovare cose dove gli altri non guardano. Fin’ora nessuno ha risposto. Mi piacerebbe avere un colloquio, magari con Steve Jobs in persona, magari possiamo arrivare ad un punto comune. Anche se il mio obbiettivo non è quello di lavorare per Apple, non si sa mai…’
Secondo TippingPoint, una società che ‘acquista’ dai ricercatori indipendenti questo tipo di vulnerabilità , se l’intenzione di Zambrini è quella di fare cassa, vendendo il frutto della sua ricerca, lo potrebbe fare raccimolando, a seconda dei casi, da qualche migliaio a decine di migliaia di dollari, a società come la stessa Tipping Point. E a proposito del bug, Hotchkies ritiene ‘non del tutto sorprendente che sia in un file che si riferisce al video. La sorpresa è che il bug sia in grado di mandare in crash il dispositivo. Questo significa che si tratta di una vulnerabilità del kernel di iPhone’