Apple ha risolto cinque vulnerabilità presenti in iOS e OS X che ricordano da vicino le ben note falle presenti nella libreria Stagefright su Android, poi “tappate” da Google.
La scoperta porta il nome di Tyler Bohan, uno dei ricercatori dei laboratori Talos di Cisco.
Bohan ha stabilito che inviando un’immagine “malformata”, appositamente congegnata, come allegato di un messaggio di posta elettronica, è possibile eseguire codice nocivo sul dispositivo Apple, senza che l’utente debba far nulla per essere aggredito.
L’immagine malevola può essere trasmessa non soltanto via email ma inserita in una normale pagina web, inviata su iMessage, come MMS oppure attraverso qualunque altra applicazione.
Il problema di sicurezza risiede nel fatto che il software Apple prova a gestire immediatamente l’immagine in arrivo cercando di generarne una versione in miniatura. Il codice malevolo inserito nell’immagine viene caricato in memoria ed eseguito sul device dell’utente.
Sebbene il codice venga eseguito con gli stessi privilegi dell’app che ha caricato l’immagine malevola, un aggressore può sfruttare diversi espedienti per l’acquisizione di un più ampio ventaglio di diritti. Così facendo, un malintenzionato può aggiungere, ad esempio, il dispositivo Apple ad una botnet, installare malware, prendere il controllo o monitorare da remoto il device oppure effettuare qualunque altra operazione all’insaputa dell’utente-vittima.
Fortunatamente, Apple ha risolto le varie lacune di sicurezza rilasciando gli aggiornamenti seguenti: iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2, El Capitan v10.11.6.
Purtroppo, su Android il quadro è più complesso perché vulnerabilità similari – scoperte a più riprese nella libreria Stagefright (vedere Spiare un dispositivo Android: nuovo exploit Stagefright) – sono state sì risolte da Google ma per la stragrande maggioranza dei dispositivi mobili i produttori non rilasciano alcun aggiornamento risolutivo (in calce all’articolo citato, abbiamo offerto alcune strategie per mitigare qualunque rischio di attacco).