I ricercatori del Project Zero di Google, che ha il compito di cercare bug nel software, hanno scoperto una manciata di attacchi iOS.
ZDNet ha il rapporto questa settimana. Un paio di membri di Project Zero sono stati in grado di identificare sei difetti di sicurezza relativi a iOS. Cinque dei sei hanno già pubblicato un codice di prova, insieme a dimostrazioni su come funzionano. In particolare, i ricercatori osservano che questi exploit potrebbero essere gestiti attraverso il client iMessage.
Tuttavia, la buona notizia è che tutti e sei gli exploit sono già stati corretti con il lancio pubblico di iOS 12.4. Quindi, sebbene questi ultimi problemi di sicurezza siano già stati corretti, riducendo significativamente la loro efficacia, è un promemoria che rimanere aggiornati con il software che usi ogni giorno è di vitale importanza.
Vale la pena notare che uno dei bug in questo caso è ancora tenuto nascosto (almeno per ora), perché mentre iOS 12.4 ha eseguito la patch tutti e sei, uno dei bus non è stato completamente risolto, almeno secondo Natalie Silvanovich, uno dei ricercatori che hanno scoperto i bug. Samuel Groß è l'altro ricercatore che ha scoperto i bug.
Secondo il ricercatore, quattro dei sei bug di sicurezza possono portare all'esecuzione di codice dannoso su un dispositivo iOS remoto, senza l'interazione dell'utente. Tutto ciò che un utente malintenzionato deve fare è inviare un messaggio non valido al telefono di una vittima e il codice dannoso verrà eseguito una volta che l'utente si apre e visualizza l'elemento ricevuto.
I quattro bug sono CVE-2019-8641 (dettagli mantenuti privati), CVE-2019-8647, CVE-2019-8660 e CVE-2019-8662. Le segnalazioni di bug collegate contengono dettagli tecnici su ciascun bug, ma anche un codice di prova che può essere utilizzato per creare exploit.
Il quinto e il sesto bug, CVE-2019-8624 e CVE-2019-8646, possono consentire a un utente malintenzionato di trapelare dati dalla memoria di un dispositivo e leggere i file da un dispositivo remoto, anche senza alcuna interazione da parte dell'utente.
La caccia agli insetti può portare a profitti redditizi. Come sottolineato nel rapporto originale, questi tipi di vulnerabilità possono incidere in oltre 1 milione di dollari per il ricercatore. Pertanto, è probabile che questo insieme di problemi di sicurezza avrebbe potuto portare a $ 5 milioni, ma avrebbe potuto essere valutato fino a $ 24 milioni considerando che hanno lavorato su versioni recenti di iOS.
Fondamentalmente, assicurati di aggiornare a iOS 12.4 il più presto possibile se non l'hai già fatto.