L’aggiornamento a iOS 9.3.5 rilasciato ieri da Apple risolve tre importanti vulnerabilità, due delle quali relative al kernel e una al WebKit. Indicazioni in merito sono riportate in questo documento sul sito di supporto Apple, con la descrizione e i rispettivi riferimenti per il dizionario delle vulnerabilità CVE (Common Vulnerabilities and Exposures), riportate come CVE-2016-4655, CVE-2016-4656 e CVE-2016-4657.
Il New York Times spiega che le vulnerabilità in questione erano sfruttate da un’azienda israeliano denominata “NSO Group”, azienda specializzata nella vendita a terzi di vulnerabilità sconosciute individuate negli smartphone. Sfruttando queste vulnerabilità era potenzialmente possibile leggere messaggi, mail, tracciare telefonate e contatti ma anche registrare suoni, raccogliere password e tracciare i movimenti dell’utente. Apple ha risolto il problema dieci giorni dopo segnalazioni da parte di due ricercatori, Bill Marczak e John Scott Railton che lavorano al Citizen Lab dell’Università di Toronto per Lookout, azienda di mobile security di San Francisco.
Da tempo la vendita di vulnerabilità zero-day (ovvero vulnerabilità per le quali non è ancora stata trovata una soluzione che le contrasti) sta prendendo sempre più piede. Esistono cyber-mercenari che mettono in vendita exploit senza avvisare i produttori di dispositivi e sistemi operativi. Apple ha recentemente annunciato un programma di ricompense, “taglie” con premi in denaro (si parte da 200.000$) da offrire a chi sarà in grado di individuare vulnerabilità che riguardano hardware e software dei suoi dispositivi.