Collegarsi ad una pagina web ed, “oplà“, l’iPhone è sbloccato. Nel sistema operativo iOS che funge da cuore pulsante per lo smartphone di Apple sono infatti insite due vulnerabilità che un aggressore non ha esitato a sfruttare per effettuare il cosiddetto “jailbreaking” del “melafonino”. Le falle di sicurezza sono ritenute dagli esperti come “estremamente gravi”: la prima è contenuta nel browser Safari mentre la seconda nel sistema operativo iOS (versione 4.0.1 e precedenti).
Marco Giuliani, Malware Technology Specialist per Prevx, ha spiegato che “nel momento in cui l’utente la specifica pagina web allestita dall’aggressore, il browser carica automaticamente un file PDF malformato contenente un exploit e del codice eseguibile“. Si tratta di una tipologia d’attacco che non è assolutamente una novità nel mondo Windows ma che non si è spesso registrata nell’ambito dei sistemi operativi del colosso di Steve Jobs.
“Come era prevedibile, basta che la piattaforma si diffonda sufficientemente per attirare l’attenzione di malintenzionati e smanettoni“, ha aggiunto Giuliani che osserva come ogniqualvolta aumenti l’attenzione nei confronti di uno specifico sistema operativo, tendano ad emergere nuovi bug e problematiche.
Il browser Apple Safari non gestisce in modo adeguato, al momento, le fonti di carattere CFF (Compact Font Format) presenti all’interno dei documenti PDF: non appena, dall’iPhone, viene aperto un file preparato “ad arte” per far leva sulla lacuna di sicurezza, il codice nocivo “celato” al suo interno viene immediatamente eseguito, anche in modalità remota. Come se non bastasse, però, un problema di sicurezza scoperto in iOS 4 ha permesso all’aggressore di eseguire il codice eludendo il “controllo” effettuato a livello di sandbox.
L’autore della scoperta ha utilizzato la coppia di vulnerabilità per permettere lo sblocco (“jailbreaking“) dell’iPhone ma il problema è ritenuto molto grave perché espone i possessori dello smartphone targato Apple ad attacchi ben più pericolosi.
Per altre informazioni sul “jailbreaking“, vi suggeriamo di consultare queste precedenti notizie.