iPhone X, se collegato a un access point malevolo un bug può consentire il recupero delle foto cancellate

Durante la competizione Mobile Pwn2Own non sono stati solamente i dispositivi Android a essere presi di mira: Ricercatori F-Secure scoprono vulnerabilità zero-day negli smartphone Samsung Galaxy S9 e Xiaomi Mi 6.

Richard Zhu e Amat Cama hanno dimostrato che allestendo un access point WiFi malevolo e collegandovi un Apple iPhone X, un aggressore ha la possibilità di accedere alle foto cancellate dal proprietario dello smartphone, immagini che si ritenevano ormai eliminate per sempre.

I due ricercatori hanno sfruttato una falla di sicurezza nel compilatore JIT (Just in Time) del “melafonino”. Provando a collegarsi all’access point WiFi malevolo, il browser carica una pagina web che provoca un errore di tipo out-of-bounds, il superamento dei confini della sandbox e l’acquisizione di privilegi più elevati.

Le foto cancellate sono i primi dati ai quali un aggressore può accedere ma le possibilità, come spiegano Zhu e Cama (che per la loro scoperta intascano 60.000 dollari), sono decisamente più ampie.

Apple è stata ovviamente informata del problema, che affligge anche iOS 12.1, e con ogni probabilità correrà ai ripari con il rilascio di un aggiornamento correttivo.