Skip to main content

Apple, una falla di sicurezza mette a rischio gli iPhone da anni

(Image credit: Shutterstock / Neirfy)

Alcuni esperti di sicurezza hanno scoperto gravi vulnerabilità nell'applicazione Mail Apple per iPhone e iPad che potrebbero consentire agli hacker di raccogliere informazioni personali senza che la vittima lo sappia.

Una delle vulnerabilità si può sfruttare tramite l’invio da parte dell’hacker di un’email manomessa, che infetta il dispositivo una volta che l’utente la apre senza il bisogno che l’utente effettui direttamente un download o visiti un sito.

Le vulnerabilità sono state scoperte dalla società di sicurezza statunitense ZecOps, che mercoledì ha affermato "con grande certezza" che i difetti appena scoperti sono già`stati ampiamente sfruttati.

Secondo quanto affermato i bug sono passati inosservati per molti anni, essendo apparsi per la prima volta  nell’applicazione di posta elettronica con iOS 6, rilasciata nel 2012. 

Le falle di sicurezza di Apple 

Sebbene Apple sia conosciuta a livello mondiale per i suoi eccellenti standard di sicurezza digitale, i suoi dispositivi non sono invulnerabili agli attacchi.

Le minacce appena scoperte sono etichettate come zero-day (o 0-day), il che significa che Apple non fosse a conoscenza della loro esistenza e quindi impossibilitata dall’impedirne lo sfruttamento. Ciò rende gli exploit iOS estremamente appetibili per i malintenzionati nascosti in rete, soprattutto vista la relativa rarità dei “zero-day” che interessano i dispositivi Apple.

ZecOps afferma di aver verificato le minacce in una simulazione di laboratorio controllata a seguito della segnalazione di alcuni utenti, che hanno riscontrato guasti insoliti al dispositivo. Secondo quanto riferito, l'azienda ha avuto le prove che gli exploit sono stati utilizzati per attaccare molteplici obiettivi di alto profilo, inclusi dipendenti di una società Fortune 500 e il dirigente di un'azienda giapponese di telecomunicazioni.

"Siamo a conoscenza di più attacchi sferrati da gennaio 2018 in poi, su iOS 11.2.2 ... È possibile che gli aggressori stessero utilizzando questa vulnerabilità anche prima. Riteniamo che questi attacchi siano coordinati da almeno un’organizzazione di hacker che opera a livello nazionale, forse dopo l’acquisto dell’exploit da un ricercatore esterno", ha scritto ZecOps.

La società ha riferito ad Apple quanto scoperto alla fine di marzo, e senza fare troppo rumore una patch è stata rilasciata per la versione beta tra il 15 e il 16 aprile.

"Per limitare questi problemi, si  può utilizzare l'ultima versione beta disponibile. Se non fosse possibile utilizzare una versione beta, considerate la possibilità di disabilitare l'applicazione Mail e utilizzare Outlook o Gmail, le quali non presentano vulnerabilità", ha consigliato ZecOps.

Apple non ha ancora risposto alla nostra richiesta di rilasciare un commento in merito, ma l'azienda a breve dovrebbe implementare e diffondere una soluzione per i milioni di dispositivi interessati.