Tra le problematiche risolte dall’update a iOS 10.3 c’è anche la soluzione all’attacco DDoS che poteva essere sfruttato per chiamare a ripetizione il numero di emergenza, un problema riscontrato lo scorso anno dal 911, il numero unico di emergenza utilizzato per molti paesi soprattutto del nordamerica. Il Wall Street Journal spiega che la vulnerabilità era stata individuata da un 18enne dell’Arizona che aveva trovato un modo per sfruttare una falla JavaScript nel corso di un cosiddetto “bug bounty”, una gara per ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi a exploit e vulnerabilità.
A ottobre dello scorso anno Meetkumar Hiteshbhai Desai aveva scritto e condiviso codice con il quale dimostrava la possibilità di prendere di mira il 911; dopo la pubblicazione del codice, il dipartimento di polizia di Surprise (Arizona), aveva ricevuto nel giro di pochi minuti oltre 100 chiamate subito riagganciate. L’ufficio dello Sceriffo della Contea di Maricopa aveva rintracciato le chiamate scoprendo che erano state effettuate mediante un link che Desai aveva pubblicato su Twitter. Gli utenti che cliccavo sul link attivavano automaticamente la chiamata di emergenza dall’iPhone; per via della diffusione in massa del link, il volume delle chiamate di emergenza avrebbe potuto potenzialmente mettere KO il servizio di emergenza.
Interrogato, Desai ha spiegato che il codice era concepito in modo da attivare pop-up, aprire mail e comporre numeri telefonici. La pubblicazione su Twitter doveva a suo modo di vedere essere vista come una cosa divertente ma anche come dimostrazione dell’effettiva vulnerabilità. Nelle precedenti versioni di iOS gli utenti che cliccavano su un numero di telefono all’interno di app quali Twitter e Messaggi, lanciavano in modo completamente automatico una chiamata; ora con l’aggiornamento a iOS 10.3 Apple ha integrato un meccanismo che obbliga l’utente a confermare l’effettiva volontà di chiamare il numero.