Apple iOS 12.1.4 non risolve solo la falla in FaceTime ma anche due gravi zero-day

L’aggiornamento per iOS appena reso disponibile dai tecnici di Apple (iOS 12.1.4) non risolve soltanto il problema di privacy scoperto nei giorni scorsi e relativo alla funzionalità FaceTime: Apple FaceTime si trasforma in una cimice: possibile spiare audio ambientale e ricevere flussi video.

Come spiegano i tecnici di Google, iOS 12.1.4 corregge alcune gravi vulnerabilità che sono state attivamente sfruttate già da qualche settimana per colpire gli utenti possessori di melafonini.

Ben Hawkes, uno dei leader del team Project Zero di Google spiega che due falle zero-day sono già sfruttate nell’ambito di campagne poste in essere da gruppi di criminali informatici, spesso con l’intento di sottrarre informazioni personali e compiere attacchi mirati verso soggetti d’interesse, precedentemente selezionati.

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.

— Ben Hawkes (@benhawkes) 7 febbraio 2019

Alle due problematiche sono già stati assegnati gli identificativi CVE-2019-7286 e CVE-2019-7287: la prima falla ha a che fare con il framework iOS Foundation, uno dei componenti di base del sistema operativo Apple; l’altra riguarda I/O Kit, altro elemento che svolge un ruolo cruciale nella gestione dei flussi I/O tra hardware e software.
In un caso l’aggressore può acquisire privilegi più elevati, nell’altro caricare ed eseguire codice dannoso sul dispositivo iOS.

Al momento né gli esperti di Project Zero né Apple hanno voluto fornire informazioni tecniche sulle due lacune di sicurezza di livello critico per dare il tempo agli utenti di scaricare e installare tempestivamente iOS 12.1.4. Il consiglio è quindi quello di provvedere all’aggiornamento dei propri dispositivi nel più breve tempo possibile.