Un bug colpiva tutti i prodotti Apple, e lo ha beccato Google

Matteo Bottin

Google ha un team dedicato interamente alla sicurezza, Project Zero. Negli anni questo team si è occupato anche di prodotti diversi da quelli dell’azienda di Mountain View, e quest’ultima scoperta non fa eccezione: nel suo blog è stata pubblicata una vulnerabilità zero-click che colpisce praticamente tutti i prodotti di Apple.

Il team di Project Zero ha trovato una vulnerabilità nel framework che si occupa della gestione dei file multimediali, ImageIO, presente in tutti i sistemi dell’azienda di Cupertino: iOS, macOS, watchOS e addirittura tvOS. Questo framework analizza e gestisce le immagini e i loro metadati.

Quando riceviamo una immagine (da qualsiasi fonte) ImageIO analizza il file per capirne la tipologia e le caratteristiche. Si tratta di un processo automatico e che non richiede interazione da parte dell’utente. Proprio a causa di questa mancanza di interazione, del codice malevolo inserito nell’immagine può essere iniettato nel dispositivo.

LEGGI ANCHE: 10 giochi gratis Android e iOS che non conoscete per non annoiarsi in quarantena

Le vulnerabilità trovate da Google in ImageIO sono 6, oltre a 8 altre vulnerabilità trovate nel formato di terze parti OpenEXR. Ma tranquilli: Google Project Zero ha contattato Apple, la quale ha sistemato tutte le vulnerabilità in gennaio e aprile di quest’anno.

Samuel Groß, ricercatore di Project Zero, non è però tranquillo: potrebbero esistere altre vulnerabilità che usano la stessa tecnica (puntando però a file diversi). Per questo è importante tenere sempre aggiornato il dispositivo.

Via: 9to5GoogleFonte: Google Project Zero