Apple ha rilasciato da alcune ore un secondo aggiornamento mensile per il proprio sistema operativo iOS: dopo il rilascio di iOS 9.3.4 appositamente realizzato per chiudere una grave vulnerabilità che consentiva ad una applicazione malevola di “eseguire codice arbitrario con privilegi kernel“, la casa di Cupertino si è affrettata a rilasciare il nuovo iOS 9.3.5 per risolvere ben tre vulnerabilità riscontrate in questi giorni che potenzialmente minacciavano la privacy milioni di utenti Apple.
Apple ha già rilasciato un changelog ufficiale di iOS 9.3.5, ma secondo il New York Times ha raccolto indiscrezioni sulla gravita delle vulnerabilità riscontrate sulle precedenti release di iOS e che hanno portato a questo nuovo update: secondo quanto raccolto dal NYT infatti degli specialisti in sicurezza avrebbero individuato accessi non autorizzati ad iPhone ed iPad da una società israeliana chiamata NSO Group che lavora proprio nel campo dello sviluppo di software per l’accesso malevolo a dispositivi mobile. Il software realizzato dalla NSO Group sarebbe in grado di leggere SMS, e-mail, contatti in rubrica e chiamate effettuate ma anche, registrare conversazioni, raccogliere password utilizzate sul dispositivo ed addirittura tracciare la posizione dell’utente attraverso il GPS di iPhone ed iPad.
iOS 9.3.5 sarebbe quindi stato rilasciato a così breve distanza dalla precedente release principalmente per chiudere questa grave falla di sicurezza, anche se da quanto emerso, sono comunque serviti oltre 10 giorni per sviluppare una valida controffensiva all’attacco individuato dagli investigatori Apple.
NSO Group vanta sulle proprie pagine ufficiali di aver sviluppato uno spyware in grado di monitorare spostamenti ma anche le attività eseguite da un dispositivo mobile di una persona che si intende controllare. Il caso sarebbe esploso quando un attivista dei diritti umani negli Emirati Arabi, evidentemente insospettito, si è rivolto agli specialisti in sicurezza della Citizen Lab, che in collaborazione con la Lookout, avrebbero individuato accessi non autorizzati all’iPhone del cliente.
Approfondendo il tipo di intrusione, Citizen Lab e Lookout hanno scoperto che l’accesso è avvenuto attraverso tre vecchie vulnerabilità di iOS delle quale Apple non era però a conoscenza. Queste vulnerabilità sono chiamate “zero days” e vengono vendute dagli hacker ai migliori offerti per ingenti somme di denaro, sopratutto quando riguardano sistemi operativi Apple.
Due delle vulnerabilità scoperte sono legate al kernel, mentre l’altro al WebKit di iOS, ma tutte e tre dovrebbero essere state finalmente chiuse con il rilascio dell’ultimo aggiornamento di iOS 9.3.5.
iOS 9.3.5 è ora disponibile per iPhone 4S e versioni successive, iPad 2 e versioni successive, iPod touch (5a generazione) e successivi e per ovvi motivi, consigliamo a tutti di procedere all’aggiornamento il prima possibile.
VIA