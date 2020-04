Secondo i ricercatori di Sicurezza ZecOps esistono due vulnerabilità critiche nell’applicazione standard di posta elettronica degli iPhone, da circa 8 anni, dal rilascio di iOS 6 fino a quello attuale iOS 13.4.1, che permetterebbero ad un attaccante remoto di prenderne segretamente il controllo semplicemente inviando una E-mail appositamente predisposta.

Le vulnerabilità critiche si trovano nella libreria MIME dell’applicazione di messaggistica e vengono sfruttate durante l’elaborazione del contenuto delle E-mail eseguito dal dispositivo. Una di esse, addirittura, non richiederebbe nemmeno l’interazione dell’utente e nemmeno che il messaggio di posta dannoso sia scaricato tutto. A sfruttamento riuscito l’attaccante potrà eseguire codice arbitrario nel contesto dell’applicazione di messagistica potendo visualizzare, modificare e cancellare i messaggi di posta. Ma per poter prendere il controllo completo del dispositivo gli aggressori dovranno concatenare all’attacco lo sfruttamento di una eventuale altra vulnerabilità nel kernel.

Per il possessore dello smartphone potrebbe essere molto difficile accorgersi della violazione in quanto risulta che i criminali eliminino immediatamente l’E-mail dannosa dopo aver ottenuto l’accesso al dispositivo della vittima. Il messaggio fake, se individuato, potrebbe recitare così “Questo messaggio non può essere visualizzato a causa del suo formato. Chiedi al mittente di mandarlo di nuovo usando un diverso formato o programma di posta.”

In particolare risulterebbe che su iOS 12 l’applicazione di messaggistica potrebbe bloccarsi in modo imprevisto dopo lo sfruttamento della vulnerabilità, mentre con iOS 13 gli utenti potrebbero riscontrare solo un temporaneo rallentamento dell’Applicazione quasi impercettibile. L’attacco si basa sull'invio di un'e-mail non necessariamente di grandi dimensioni ma che comunque consuma grandi quantità di memoria e che quindi potrebbe essere bloccata da alcuni provider di posta elettronica.

I ricercatori informano che gruppi di attaccanti (hanno individuato almeno una società di “CyberCrime a noleggio” forse assoldati da uno stato nazionale) stanno già sfruttando queste vulnerabilità da circa due anni per colpire, sembra, obiettivi specifici in taluni settori ed organizzazioni dell’Arabia Saudita, di Israele e giornalisti in Europa, in ogni caso vittime di alto profilo in attacchi mirati.

Anche se l’impatto di questa minaccia potrebbe essere enorme, a quanto ci è dato sapere, al momento non si tratta di un attacco di massa.

Apple è stata informata dai ricercatori di ZecOps circa due mesi fa di queste gravi vulnerabilità ed ha inserito le patch correttive solo nella versione beta di iOS 13.4.5 rilasciata la scorsa settimana.

In attesa del prossimo aggiornamento di iOS che possa rimediare a questa grave minaccia, e che speriamo venga rilasciato presto al pubblico, è consigliabile per gli utenti di iPhone e iPad non utilizzare l’applicazione di posta predefinita e invece passare alle App Gmail, Microsoft Outlook o altre.

L’infografica di ZecOps che riassume la minaccia

Mentre scriviamo veniamo a conoscenza di un’altra campagna di attacchi criminali che sfruttano vulnerabilità degli iPhone. Attaccanti cinesi stanno installando software “spyware” sui dispositivi Apple della minoranza musulmana Uigura nella regione autonoma cinese dello Xinjiang sfruttano vulnerabilità presenti su versioni di iOS fino alla 12.3.2 e risolte con la versione 12.4 a luglio 2019.

Si consiglia pertanto di tenere sempre aggiornati tutti i dispositivi che si collegano ad Internet perché, tranne gli attacchi Zero-day, tutti gli altri potranno essere evitati.

