iPhone X, se collegato a un access point malevolo un bug può consentire il recupero delle foto cancellate

Durante l'evento Mobile Pwn2Own due ricercatori scoprono un sistema per accedere ad alcuni dati dell'utente, possessore di un iPhone X, previa connessione a un access point WiFi malevolo.

Durante la competizione Mobile Pwn2Own non sono stati solamente i dispositivi Android a essere presi di mira: Ricercatori F-Secure scoprono vulnerabilità zero-day negli smartphone Samsung Galaxy S9 e Xiaomi Mi 6.

Richard Zhu e Amat Cama hanno dimostrato che allestendo un access point WiFi malevolo e collegandovi un Apple iPhone X, un aggressore ha la possibilità di accedere alle foto cancellate dal proprietario dello smartphone, immagini che si ritenevano ormai eliminate per sempre.


I due ricercatori hanno sfruttato una falla di sicurezza nel compilatore JIT (Just in Time) del “melafonino”. Provando a collegarsi all’access point WiFi malevolo, il browser carica una pagina web che provoca un errore di tipo out-of-bounds, il superamento dei confini della sandbox e l’acquisizione di privilegi più elevati.

Le foto cancellate sono i primi dati ai quali un aggressore può accedere ma le possibilità, come spiegano Zhu e Cama (che per la loro scoperta intascano 60.000 dollari), sono decisamente più ampie.

Apple è stata ovviamente informata del problema, che affligge anche iOS 12.1, e con ogni probabilità correrà ai ripari con il rilascio di un aggiornamento correttivo.

Ti consigliamo anche

Link copiato negli appunti