Con il rilascio di ieri di iOS 14.4 e di tutti gli altri sistemi operativi, Apple ha incluso le sue tipiche correzioni di bug. Tuttavia, Apple riconosce che iOS 14.4 risolve tre bug di sicurezza che secondo la società “avrebbero potuto essere attivamente sfruttati”. Questa è la prima volta che Apple ha riconosciuto esplicitamente la chiusura di una falla di sicurezza che avrebbe potuto essere sfruttata in un attacco dannoso.
I bug di Safari e Kernel sono stati corretti da iOS 14.4
Nel documento sulla sicurezza di iOS 14.4 Qui, puoi vedere la descrizione dei tre bug risolti con l’aggiornamento. Sono i seguenti:
CVE-2021-1782: un’applicazione dannosa può ottenere l’accesso a privilegi elevati nel kernel.
CVE-2021-1870 e CVE-2021-1871: un utente malintenzionato remoto può causare l’esecuzione di codice di esecuzione arbitrario in Webkit.
Il Kernel è una parte fondamentale del sistema operativo che permette al resto del software di accedere all’hardware. Webkit è il motore del browser sviluppato da Apple per Safari, utilizzato sia su macOS che su iOS. Spesso, un hacker utilizzerà più bug in una catena per ottenere l’accesso a un dispositivo. In questo caso abbiamo due “chiavi” per entrare e una “porta” per accedere con esse.
Non è noto se sia stato utilizzato contro uno o più utenti o se sia stato sfruttato su larga scala. Tuttavia, la stessa nota di sicurezza afferma che “ulteriori dettagli saranno presto disponibili”.
Un ricercatore anonimo potrebbe essere premiato
Nelle note di sicurezza per una nuova versione del software, Apple di solito indica la persona o il team che lo ha trovato. Se non compare alcuna attribuzione diretta, si presume che sia stata fissata dalla propria squadra. Ma in questo caso, i tre bug sono attribuiti a “un ricercatore anonimo”.
Nel mondo della sicurezza hardware e software, è pratica comune pubblicizzare pubblicamente tali bug, una volta che l’azienda è stata contattata e i bug sono stati corretti. In questo modo, acquisisci rilevanza e prestigio tra i colleghi, come se fosse una nuova linea di curriculum. Ecco perché l’anonimato della persona o del gruppo che ha reso noti i tre errori è ancora più sorprendente.
Vale la pena ricordare che ogni aggiornamento risolve bug, in alcuni casi importanti, che aiutano a proteggere la sicurezza dei nostri dispositivi.
Non è la prima volta che vengono scoperti bug di sicurezza che sono stati sfruttati in modo dannoso. Uno dei casi più noti è stato Pegasus, un insieme di tre bug che consentivano anche l’accesso al kernel. Sono stati utilizzati dagli Emirati Arabi Uniti per spiare un dissidente politico nel paese, riparati da Apple nell’estate 2016.
Apple ha lanciato qualche tempo fa un programma di premi, dove assegna premi in denaro a coloro che riescono a violare la sicurezza dei suoi dispositivi. I premi vanno da 100.000 USD per aver aggirato la schermata di blocco, a 1 milione di USD per essere riusciti a eseguire il codice nel kernel senza clic.
Naturalmente, l’informatore anonimo potrebbe intascare qualche centinaio di migliaia di dollari per quei tre insetti. Vedremo se ne scopriremo di più nelle prossime settimane.