Aggiornare ad una nuova release di iOS è operazione consigliata. Oggi più che mai. Sì, perché Apple ha magistralmente archiviato una importante falla di sicurezza riguardante iPhone e iPad, sconosciuta ai più sino alla pubblicazione dell’ultimo minor update del sistema operativo mobile di Cupertino (iOS 9.3.3, nello specifico). L’effetto della stortura software è pressoché paragonabile a Stagefright sul rivale Android, come specificato in queste ore da Tyler Bohan, il ricercatore di Cisco Talos che ha scoperto e divulgato in rete la vulnerabilità.
Il bug che avrebbe potuto metter in crisi la sicurezza di iPhone e iPad concerne, nello specifico, il sistema di gestione, esportazione ed importazione delle immagini tra dispositivi. Un gioco da ragazzi per l’hacker di turno, pronto a sfruttare la stortura software di iOS per eseguire sullo smartphone o tablet un codice malevolo, mascherato per l’occasione in una immagine allegata dentro una e-mail, od incorporata in una pagina web e, soprattutto, data in pasto mediante iMessage e qualsivoglia altra applicazione.
A rischiare sono innanzitutto iPhone e iPad, ma anche Apple TV, Apple Watch e persino Mac. Il bug colpisce infatti ImageIO, il framework disseminato tra i vari software dell’azienda californiana, quali Safari, Mail ed altre applicazioni proprietarie progettate ad-hoc per la lettura delle immagini. L’effetto dirompente è però soprattutto su iOS. <<Colpa>> dell’app Messaggi di iPhone e iPad, che è solita riprodurre in anteprima le immagini ricevute senza un correlato download da parte dell’utente. Un meccanismo insomma a doppio filo, che avrebbe permesso al malintenzionato di turno di diffondere immediatamente il codice malevolo sul dispositivo.
A questo punto l’hacker può accedere alle credenziali Web salvate in memoria o ai cookie di Safari. Ma anche prendere il controllo dell’iPhone e iPad per effettuare qualsiasi operazione all’oscuro ed all’insaputa dell’utente. Apple è corsa quindi ai ripari, divulgando in fretta e furia i nuovi iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2 e ElCapitan v10.11.6, che mette per l’appunto <<una pezza>> al bug su iPhone, iPad e la folta schiera di prodotti Apple.
via