Dopo anni di silenzio dovuti alla particolare attenzione riposta dai tecnici di Apple nello scongiurare l’utilizzo di qualunque tecnica che possa consentire il jailbreaking dei suoi iPhone, nel corso dell’ultimo fine settimana è stato pubblicato in rete il codice che permette di forzare la più recente versione del sistema operativo iOS (release 12.4).
Come confermato dagli esperti, il problema deriva dal fatto che i tecnici di Apple avrebbero erroneamente rimosso una patch che era stata introdotta con il rilascio di iOS 12.3: la “svista” ha permesso di realizzare il codice per effettuare il jailbreaking.
La tecnica del jailbreaking, molto in voga in passato, permette di rimuovere le restrizioni software imposte da Apple sui suoi dispositivi iOS quindi installare ed eseguire pacchetti non firmati, non supportati e non autorizzati gestiti da terze parti.
L’autore della scoperta, il ricercatore Pwn20wnd, ha pubblicato su GitHub il sorgente del suo lavoro confermando come tutti i dispositivi iOS – fintanto che Apple non avrà rilasciato iOS 12.4.1 – sono da considerarsi vulnerabili.
Sebbene non sia affatto semplice aggredire un iPhone da remoto, alcuni tra i principali esperti in materia di sicurezza informatica sono concordi nel sostenere che in assenza di una patch i criminali informatici potrebbero riuscire a eseguire codice malevolo sugli iPhone e sugli altri dispositivi iOS facendo leva su Safari e sul codice appena diffuso in rete.
Ned Williamson (Google Project Zero) ha confermato che il codice per il jailbreaking venuto a galla in queste ore è perfettamente funzionante e che qualcuno potrebbe bruciare le tappe per sviluppare “lo spyware perfetto”.
Williamson ha aggiunto che, ad esempio, un’applicazione dannosa potrebbe includere un exploit per sfuggire alla sandbox di iOS – un meccanismo che impedisce alle applicazioni di raggiungere i dati di altre app o del sistema – e rubare i dati degli utenti.
In alternativa i criminali informatici possono combinare l’exploit con una vulnerabilità presente nel browser Safari per provocare l’esecuzione di codice malevolo.