Un bug colpiva tutti i prodotti Apple, e lo ha beccato Google
Google ha un team dedicato interamente alla sicurezza, Project Zero. Negli anni questo team si è occupato anche di prodotti diversi da quelli dell'azienda di Mountain View, e quest'ultima scoperta non fa eccezione: nel suo blog è stata pubblicata una vulnerabilità zero-click che colpisce praticamente tutti i prodotti di Apple.
Il team di Project Zero ha trovato una vulnerabilità nel framework che si occupa della gestione dei file multimediali, ImageIO, presente in tutti i sistemi dell'azienda di Cupertino: iOS, macOS, watchOS e addirittura tvOS. Questo framework analizza e gestisce le immagini e i loro metadati.
Quando riceviamo una immagine (da qualsiasi fonte) ImageIO analizza il file per capirne la tipologia e le caratteristiche. Si tratta di un processo automatico e che non richiede interazione da parte dell'utente. Proprio a causa di questa mancanza di interazione, del codice malevolo inserito nell'immagine può essere iniettato nel dispositivo.
Le vulnerabilità trovate da Google in ImageIO sono 6, oltre a 8 altre vulnerabilità trovate nel formato di terze parti OpenEXR.
Ma tranquilli: Google Project Zero ha contattato Apple, la quale ha sistemato tutte le vulnerabilità in gennaio e aprile di quest'anno.
Samuel Groß, ricercatore di Project Zero, non è però tranquillo: potrebbero esistere altre vulnerabilità che usano la stessa tecnica (puntando però a file diversi). Per questo è importante tenere sempre aggiornato il dispositivo.
Via:
9to5Google
Fonte:
Google Project Zero
Suggeriti per te
![Come funziona "Operation Triangulation", l'attacco a iPhone più sofisticato mai visto. E che contiene un giallo](https://www.smartworld.it/wp-content/uploads/2021/07/hacker-smartphone-final-700x443.jpg "Come funziona "Operation Triangulation", l'attacco a iPhone più sofisticato mai visto. E che contiene un giallo")
