Una grave falla di sicurezza è stata rilevata su iPhone e iPad. Aggiornate i dispositivi

Lunedì Apple ha rilasciato una nuova versione dei sistemi operativi di iPhone e iPad per correggere una vulnerabilità 0day che gli hacker stavano sfruttando, il che significa che ne stavano approfittando per hackerare i dispositivi Apple.

Una vulnerabilità 0-day (zero-day) è una falla di sicurezza informatica presente in un software o sistema che è sconosciuta agli sviluppatori del software e agli utenti, e che potrebbe essere utilizzata da attaccanti per compromettere la sicurezza del sistema o del dispositivo.

Questo termine viene usato perché gli sviluppatori hanno “zero giorni” per risolvere il problema prima che venga sfruttato da attaccanti malintenzionati.

Il bug nello specifico è residente all’interno del WebKit, il motore del browser di Apple utilizzato in Safari e un obiettivo storicamente popolare per gli hacker, poiché può aprire l’accesso al resto dei dati del dispositivo.

Sulla pagina dell’aggiornamento di sicurezza, Apple ha scritto che “è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato”.

In questo caso, Apple ha accreditato la scoperta a un ricercatore anonimo e ha anche ringraziato Citizen Lab “per la loro assistenza”. Citizen Lab è un gruppo di ricerca sui diritti digitali ospitato presso la Munk School dell’Università di Toronto, noto per aver denunciato l’abuso di strumenti di hacking del governo come quelli realizzati da NSO Group.

NSO Group è un’azienda di sicurezza informatica israeliana che sviluppa e vende software di sorveglianza per governi e agenzie di sicurezza. Il software, chiamato Pegasus, è stato al centro di diverse controversie in quanto è stato utilizzato per spiare giornalisti, attivisti per i diritti umani e altre persone in tutto il mondo.

Sul sito di Apple viene riportato quanto segue:

WebKit

Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A type confusion issue was addressed with improved checks.

WebKit Bugzilla: 251944
CVE-2023-23529: an anonymous researcher

Nel 2021, Motherboard ha riferito che solo nei primi quattro mesi dell’anno, Apple aveva corretto sette bug sfruttati, di cui sei in WebKit, un numero che gli esperti considerava alto all’epoca.

Come al solito, le possibilità che un utente medio di iPhone venga preso di mira con un attacco 0day sono scarse, ma occorre comunque aggiornare il tuo telefono.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore