Scoperte sei vulnerabilità in Apple iOS: codice eseguito senza alcuna interazione da parte degli utenti

Due notissimi ricercatori del team Project Zero di Google annunciano la scoperta di ben 6 nuove (gravi) vulnerabilità in Apple iOS che possono essere sfruttate da parte dei criminali informatici semplicemente facendo leva sull’app iMessage.
Quello portato a galla da Natalie Silvanovich e dal collega Samuel Groß è un po’ il Sacro Graal degli aggressori remoti perché le lacune di sicurezza individuate nel sistema operativo iOS possono essere utilizzate, senza alcun intervento da parte dell’utente, per eseguire codice nocivo sul dispositivo della vittima e sottrarre i dati conservati sia nella memoria volatile che nello storage flash.

Tutte le vulnerabilità (tranne una) sono state risolte da Apple con il rilascio di iOS 12.4: gli esperti di Project Zero, dopo aver atteso la distribuzione delle patch ufficiali da parte dei tecnici della Mela, hanno reso disponibile il codice proof-of-concept che soggetti terzi potrebbero a questo punto utilizzare per sviluppare exploit perfettamente funzionanti.

Mai come adesso è quindi importante scaricare e installare rapidamente iOS 12.4 (rilasciato lo scorso 22 luglio) aggiornando tutti i propri dispositivi Apple.

I dettagli su ciascuna vulnerabilità sono disponibili ai seguenti link: CVE-2019-8647, CVE-2019-8660, CVE-2019-8662, CVE-2019-8624 e CVE-2019-8646.
Le ultime due lacune permettono proprio di estrarre i dati dalla memoria di un dispositivo altrui e inviarli verso un sistema remoto, senza alcun intervento dell’utente e usando solo iMessage.

Le informazioni tecniche relative alla vulnerabilità contraddistinta dall’identificativo CVE-2019-8641 sono state invece mantenute segrete dal momento che Apple non ha ancora risolto il problema.

La Silvanovich ha anticipato che la scoperta sarà oggetto di una conferenza che si terrà alla Black Hat Conference, nel corso della prossima settimana. “Nel corso della presentazione focalizzeremo la nostra attenzione sulla superficie di attacco di iOS che consente attacchi interaction-less“, ovvero che non richiedono alcuna interazione da parte dell’utente, ha osservato la ricercatrice. “Discuteremo del potenziale rappresentato dalle vulnerabilità nella gestione di SMS, MMS, Voicemail, email e iMessage soffermandoci sugli strumenti utili per mettere alla prova questi componenti“.

Secondo Zerodium, le vulnerabilità scoperte dal team di Google Project Zero avrebbero potuto fruttare, se vendute sul “mercato nero”, fino a 1 milione di dollari ciascuna con un valore complessivo che comunque si attesterebbe, senza esagerare, intorno ai 10 milioni di dollari.
Stando a Crowdfense, il fatto che le lacune di sicurezza possano determinare attacchi efficaci senza alcun intervento da parte degli utenti sulle più recenti versioni di iOS farebbe lievitare esponenzialmente la valutazione economica. Secondo gli esperti, le lacune scoperte dalla Silvanovich e dai suoi in iOS potrebbero essere tranquillamente valutate tra 2 e 4 milioni di dollari l’una.