Ricercatori di sicurezza di Google avrebbero individuato alcuni non meglio precisai siti malevoli che, per anni, dopo una semplice visita sarebbero stati silenziosamente in grado di prendere di mira l’iPhone di un utente sfruttando una serie di falle che non erano state finora rivelate.
I ricercatori del team Project Zero di Google riferiscono in un post sul loro blog che i siti in questione erano visitati migliaia di volte a settimane da vittime ignare, permettendo di portare a termine attacchi massicci e indiscriminati.
“La semplice visita al sito hackerato, era sufficiente per permettere all’exploit (codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di codice malevolo, ndr) di portare a termine l’attacco verso il dispositivo e, in caso di esito positivo, installare un impianto di monitoraggio”, spiega Ian Beer, ricreatore di sicurezza del Project Zero.
A suo dire i siti web in questione avrebbero permesso di hackerare per “un periodo di almeno due anni” gli iPhone. I ricercatori hanno individuato cinque diverse catene di exploit legati a 12 diverse falle di sicurezza, sette delle quali riguardavano Safari, il browser di default di iOS.
Cinque di queste falle avrebbero permesso di portare a termine attacchi con i quali ottenere i privilegi di “root”, consentendo di accedere alla radice del sistema operativo, il più alto livello di privilegi possibile sull’iPhone. Con questo tipo di attacco, è potenzialmente possibile accedere anche a funzionalità normalmente precluse agli utenti. In pratica è potenzialmente possibile installare app malevole per spiare un utente, a sua insaputa e senza il suo consenso.
Secondo le analisi dei ricercatori, le vulnerabilità in questione potrebbero essere state sfruttate per rubare foto e messaggi, ma anche tracciare la posizione dell’utente in tempo reale. “L’impianto di monitoraggio” potrebbe essere stato sfruttato inoltre per accedere alle password dell’utente salvate sul dispositivo.
Le vulnerabilità sono presenti in tutti i dispositivi da iOS 10 a iOS 12. Google ha privatamente rivelato le vulnerabilità a febbraio di quest’anno, offrendo ad Apple solo una settimana per risolvere le falle e presentare un aggiornamento. È una tempistica ridotta, rispetto ai 90 giorni normalmente offerti dai ricercatori di sicurezza per consentire alle aziende di creare patch.
Apple ha ad ogni modo rilasciato l’aggiornamento sei giorni dopo le comunicazioni ricevute, e i problemi sono stati definitivamente risolti con l’update a iOS 12.1.4. Con questo update Apple ha risolto anche la vulnerabilità che permetteva di eseguire il jailbreak del dispositivo.
Nel database delle vulnerabilità, in quella etichettata come CVE-2019-8605, si spiega che poteva consentire a un’applicazione malevola di eseguire codice arbitrario con i privilegi di sistema, permettendo quindi di installare e lanciare software non certificato da Apple e di effettuare il jailbreak degli iPhone di ultima generazione. Se non l’avete ancora fatto, è dunque bene aggiornare prima possibile il vostro dispositivo con l’ultima versione di iOS.
Macitynet riporta ogni giorno le notizie sulla sicurezza dei sistemi informatici. Visitate questa pagina per tutte le informazioni.