Google sorprende gli utenti iPhone, iPad e Mac di Apple: ‘Numerose nuove vulnerabilità’ rivelate
Google, sembra, ha appena fatto di nuovo. L’anno scorso, l’élite di cacciatori di bug Project Zero del gigante tecnologico ha causato uno scalpore mediatico rivelando le vulnerabilità di sicurezza in Apple iOS che permettevano di violare i dispositivi. Si è scoperto che gli hackers – accusati dalla Cina – non erano limitati solo ad Apple, e Google si è preso delle critiche. Ora lo stesso team di Google ha lanciato un’altra rivelazione a sorpresa “focalizzata sull’ecosistema Apple”, guardando alle vulnerabilità di base che potrebbero fornire agli attaccanti un punto di ingresso.
Il tempismo del rapporto di Google, dal titolo allettante “Fuzzing ImageIO” è interessante quanto il contenuto. Nell’ultima settimana abbiamo visto due problemi di sicurezza Apple fare notizia in tutto il mondo. In primo luogo, un rapporto di sicurezza che sostiene che l’applicazione di posta elettronica di Apple può essere bloccata con un’e-mail malintenzionata, aprendo una backdoor per ulteriori sfruttamenti, e poi la storia naturalmente virale della bomba di testo.
PIU’ DA FORBESAttenzione: questo nuovo iPhone maligno ‘Text Bomb’ fa crashare iOS 13: ecco cosa fare da Zak Doffman
Il denominatore comune con queste storie recenti è l’avvertimento che l’elaborazione di base del sistema può essere sfruttata. Innescando una risposta software inaspettata su un dispositivo, i soliti controlli bloccati possono essere fatti per comportarsi in modo imprevedibile. E questo apre la porta per un attacco, spesso utilizzando un vettore completamente diverso. Ciò che è interessante è che anche le funzioni di base utilizzate da miliardi di persone, come la posta elettronica e la messaggistica, hanno ancora il potenziale per aprire una porta sul retro.
E questo stesso tema è stato riportato ieri (28 aprile) dal team Project Zero di Google, che ha “scoperto numerose nuove vulnerabilità che sono state corrette”. Le vulnerabilità sono descritte come “un vecchio tipo di problema”, che colpisce i file multimediali inviati su piattaforme di messaggistica” nel framework ImageIO. Secondo il rapporto di Google, più vulnerabilità “sono state trovate, segnalate ad Apple o ai rispettivi manutentori di librerie di immagini open source, e successivamente risolte.”
E così, dal punto di vista dell’utente, se avete aggiornato il vostro sistema operativo come dovreste sempre, sarete protetti. Beh, più o meno – non è così semplice. Google avverte che anche attraverso le falle divulgate non erano abbastanza per consentire un take-over del dispositivo o grave esfiltrazione di dati, “dato abbastanza sforzo, alcune delle vulnerabilità trovate possono essere sfruttate per in uno scenario di attacco”. E questo è fondamentalmente il tipo di rischio sostenuto per la vulnerabilità della posta di Apple. Più al punto, però, Google avverte anche che “è anche probabile che altri bug rimangano o vengano introdotti in futuro.”
PIÙ DA FORBESA Attenti-questo nuovo iPhone maligno ‘Text Bomb’ blocca iOS 13: ecco cosa fare da Zak Doffman
Tecnicamente, l’uso di immagini per esporre le vulnerabilità non è raro. Negli ultimi mesi abbiamo visto rapporti che hanno avuto un impatto su popolari piattaforme di messaggistica che fanno esattamente questo. Quando un’immagine viene ricevuta, il dispositivo deve analizzare i dati per capire come gestirla e visualizzarla – quale lettore e quali parametri di gestione. La maggior parte di ciò che inviamo sono comuni JPEG o GIFS o PNG, ma, dice Google, “ci sono anche numerosi piuttosto esotici.”
Google ha testato la sicurezza di Apple con il fuzzing delle immagini, essenzialmente randomizzando i dati in modo che il dispositivo non sapesse come gestirli e sarebbe potenzialmente caduto in qualche misura cercando. L’approccio di Google non voleva essere esaustivo, ma illustrativo, e hanno sottolineato che una versione più sofisticata dello stesso approccio avrebbe potuto dare risultati migliori. Non hanno seguito il fuzzing dell’immagine con altri exploit per approfittare del fallimento iniziale.
Un intero gruppo di vulnerabilità è stato trovato, divulgato ed è stato patchato – così il rapporto. Google suggerisce ai venditori di adottare un “fuzz-testing continuo”, e raccomanda anche alle piattaforme di messaggistica di rifiutare tutti i formati di immagine tranne i più comuni, “almeno per le anteprime dei messaggi che non richiedono interazione”. Meno possibilità di attacchi ci sono, meglio è, e come sottolinea il team “questo ridurrebbe la superficie di attacco da circa 25 formati di immagine fino a solo una manciata o meno.”
Questi problemi interesserebbero tutti i sistemi operativi Apple pre-patching. L’uso di questo tipo di vettore di attacco per rendere un dispositivo vulnerabile prima che sia attaccato è spesso centrale per gli attacchi informatici sofisticati, anche a livello di stato-nazione. I gruppi di minacce premiano gli exploit che possono essere sicuri di eseguire sui dispositivi di destinazione, motivo per cui si concentrano sull’elaborazione del sistema operativo di base o su piattaforme iper-scala come WhatsApp.
Nel frattempo, Apple spera che questo metta fine a pochi giorni abbastanza torridi di rivelazioni di sicurezza. L’azienda ha patchato questi problemi e sta facendo lo stesso con le vulnerabilità di posta e testo. Ma, come sempre, scuotere la fiducia degli utenti è un problema. E per Apple, che commercializza se stessa sulla sicurezza della sua piattaforma, queste non sono mai belle storie da vedere nei titoli dei media.