Nei giorni scorsi Apple ha notificato ai suoi clienti la presenza di alcune falle di sicurezza piuttosto preoccupanti all’interno dei sistemi operativi di alcuni suoi device. La problematica in fase di soluzione riguarderebbe più nello specifico tre prodotti: iPhone, iPad e Mac, ovvero praticamente i tre best seller dell’azienda americana. Il pericolo corso da tutti gli utenti sarebbe quello di perdere totalmente il controllo dei device qualora gli hacker riuscissero a sfruttare due vulnerabilità.
In modo del tutto improvviso, dunque, Apple ha diffuso una nota in cui invitava a provvedere all’aggiornamento dei sistemi con una certa urgenza. Per i dispositivi di loro produzione si tratta di un evento particolarmente singolare, vista anche la famigerata sicurezza di cui godono, ma pare che all’interno di WebKit e del kernel, rispettivamente il motore di Safari ed una parte integrante del sistema operativo.
I dispositivi coinvolti in queste vulnerabilità potenzialmente molto dannose sembrerebbero essere gli iPhone dalla versione 6s in poi, e tutte le versioni di iPad che utilizzano il sistema operativo chiamato mac OS Monterey (Pro, Air 2, quinta generazione e successivi, Mini 4 e successivi). Trattandosi di una segnalazione effettuata da un utente esterno e non scoperta dal team interno Apple non ha ancora diramato alcuna spiegazione o nota ufficiale riguardante le falle di sicurezza. Questo perché, in questi casi, l’azienda statunitense effettua prima alcune inchieste interne per poi fornire il massimo delle informazioni o, eventualmente, le smentite.
La prima delle due vulnerabilità, finita nell’elenco ufficiale MITRE, è stata nominata CVE-2022-32894 e, come abbiamo detto, è stata riscontrata nel kernel iOS e macOS e consentirebbe a utenti piuttosto abili di eseguire codice remoto all’interno dei dispositivi. Qualora l’hacker riuscisse ad entrare a livello kernel dall’esterno mediante un malware avrebbe pieni privilegi e questo dà l’idea di quanta pericolosità vi sia in questa falla che è stata anche definita zero-day.
Anche la seconda vulnerabilità è stata dichiarata di tipo zero-day e si tratta della CVE-2022-32893 ed è presente nel WebKit che gestisce il browser di casa Apple Safari ed altre app. Sfruttandola, gli hacker possono anche in questo caso riuscire ad eseguire codice malevolo. Per poter portare avanti l’attacco basterebbe creare siti web malevoli ad hoc e, durante la navigazione di questi da parte dell’utente, dare modo all’hacker di entrare ed eseguire il codice.
In base a queste preoccupazioni ovviamente Apple sta inviando notifiche ed avvisi per chiedere ai propri utenti di aggiornare urgentemente tutti i dispositivi per mitigare al massimo la possibilità di attacchi. Considerando poi che, ad esempio, la prima versione di iPhone coinvolta è la 6S, uscita nel 2015, si può pensare che questa vulnerabilità sia già stata sfruttata più volte per altre offensive.