iMessage ha ancora gravi falle non risolte

Giuseppe Tripodi Potrebbe bastare un semplice messaggio per hackerare un iPhone

Durante la conferenza di sicurezza di Black Hat che si è tenuta ieri a Las Vegas, Natalie Silvanovich, ricercatrice di Google Project Zero, ha svelato una serie di bug di iMessage. Si tratta di falle particolarmente pericolose perché non richiedono l’interazione degli utenti per essere attivate: solitamente siamo abituati a sentir parlare di link o allegati malevoli, che possono eseguire del codice se cliccati. Al contrario, Silvanovich si è specializzata nei cosiddeti intercation-less bug, ossia quel genere di vulnerabilità che non richiedono neanche che l’utente interagisca con un con un contenuto.

Silvanovich, che ha lavorato insieme al collega ricercatore Samuel Groß, alla conferenza ha illustrato sei bug che Apple ha già fixato con iOS 12.4 e macOS 10.14.6, spiegando però che iMessage ha ancora molte falle che vanno risolte.

Tutte queste vulnerabilità sono dovute al comportamento di iMessage, che mostra automaticamente foto e video ed interagisce con un gran numero di applicazioni. Sostanzialmente qualsiasi altra app di terze parti può interagire con iMessage, se integrata correttamente: questo porta a maggiori possibilità di aggirare i limiti di sicurezza ed eseguire codice malevolo, senza neanche dover aprire il messaggio incriminato.

LEGGI ANCHE: I nuovi iPhone sanno se avete cambiato la batteria

Uno dei bug di cui si è parlato durante la conferenza permetteva ad eventuali hacker di estrearre qualsiasi dato dai messaggi degli utenti: bastava inviare un particolare codice per ricevere indietro una mole di dati della vittima, che vanno dal contenuto degli SMS alle immagini. Il tutto, ovviamente, senza che l’utente faccia alcunché: non era necessario neanche aprire l’app di iMessage.

Come precisato da Silvanovich, Apple è sempre molto attenta nel fixare subito queste vulnerabilità e, in generale, presta sempre molta attenzione alla sicurezza: tuttavia, a causa della natura stessa di iMessage, ci sono ancora molte falle che potrebbero essere sfruttate dai malintenzionati e che potenzialmente possono valere milioni di dollari nel mercato degli exploit.

Via: Wired