Un aggiornamento è stato reso disponibile nelle scorse ore ai possessori di dispositivi Apple più recenti. La ragione è un problema nella sicurezza nel sistema operativo che secondo Cupertino sarebbe già stata sfruttati da alcuni hacker per prendere il controllo totale di iPhone, iPad e iMac. Le falle principali sono due: una riguarda il kernel, lo “strato” più profondo del sistema operativo che tutti i dispositivi hanno in comune. L’altra, invece, riguarda il browser web – Safari – nello specifico WebKit, la tecnologia su cui si basa. Apple spiega che i problemi sono stati segnalati da ricercatori in maniera anonima. La versione da installare per mettere i propri dispositivi in sicurezza è la 15.6.1 per iOS, e la 12.5.1 per MacOs Monterrey. Ad essere a rischio sono: tutti gli iPhone 6S e successivi (ovvero quelli rilasciati dal 2015 in avanti), tutti gli iPad dalla quinta generazione in avanti (ovvero rilasciati dal 2014), inclusi gli iPad Pro e tutti i Mac con a bordo Monterrey.
Gli hacker potrebbero ottenere il controllo totale dei dispositivi
Le due falle rivelate hanno codice CVE-2022-32893 e CVE-2022-32894 e le loro analisi tecniche ancora non sono state rese pubbliche. Se un hacker dovesse sfruttarle, otterrebbe il controllo assoluto del dispositivo. Esattamente come quello che ha l’utente. Nello specifico, il bug di Safari consente al codice dei malintenzionati di introdursi nei dispositivi anche semplicemente navigando su siti infetti. Ad ogni modo, è difficile credere che tutti gli utenti verranno interessati da attacchi. Come spiegato al Guardian da Alex Tobac, Ceo dell’azienda di sicurezza informatica SocialProof Security, ad essere particolarmente attenti dovrebbero essere «coloro che si trovano sotto i riflettori», come ad esempio attivisti e giornalisti che potrebbero essere oggetto di sofisticati spionaggi di Stato.
Gli zero-day bug
Quelli che sono appena stati corretti, sono definiti – ad oggi – degli zero-day bug. Questa dicitura si applica alle falle per le quali è disponibile un fix da zero giorni. Le ferite, insomma, sono ancora fresche. Proprio per questo sono quelli più facili da sfruttare, e più ricercati dai malintenzionati, che sono disposti a pagare moltissimo per riuscire fare breccia nella falla. La compagnia di cybersecurity Zerodium, ad esempio, riferisce che elargirebbe «fino a 500 mila dollari» a chi riuscisse a trovare un modo di hackerare un dispositivo tramite Safari, e «fino a due milioni» se per intromettersi nel sistema operativo non è necessario nessun click da parte dell’utente. I clienti di Zerodium? «Istituzioni governative, principalmente europee e nordamericane»
Leggi anche: