Apple ha recentemente rilasciato un aggiornamento di sicurezza di iOS molto importante, che agli utenti del melafonino si raccomanda di installare appena possibile.
L’aggiornamento (patch) è alla versione 9.3.5 di iOS ed è stato rilasciato per risolvere tre vulnerabilità che consentono di effettuare il jailbreaking del sistema operativo e di installare malware e spyware da remoto: per infettare il proprio cellulare Apple è sufficiente cliccare su un collegamento (link) pervenuto tramite SMS o altre applicazioni e ospitato su una pagina web rogue, ovvero opportunamente sviluppata da malintenzionati per sfruttare le vulnerabilità (zero-day exploit). Anche la semplice navigazione su tali siti web potrebbe compromettere la sicurezza del cellulare.
Gli exploit, documentati di seguito e il cui uso simultaneo va sotto il nome in codice di Trident, sono stati usati da un’azienda israeliana di cyber-war, NSO Group, che ne ha sfruttato le caratteristiche per installare da remoto il proprio software di spionaggio Pegasus. Una volta infettato da Pegasus, il cellulare può essere pilotato e monitorato da remoto per tracciare spostamenti, comunicazioni di ogni genere e come apparecchio spia audio e video.
CVE-2016-4657: Visitare un sito web fraudolento può causare l’esecuzione di codice arbitrario
CVE-2016-4655: Un’applicazione può accedere alla memoria del kernel
CVE-2016-4656: Un’applicazione può eseguire codice arbitrario con privilegi elevati
La scoperta di tali problematiche si deve a un’indagine effettuata in collaborazione dai ricercatori di Lookout e Citizen Lab, contattati da un noto attivista per i diritti umani con base negli Emirati Arabi, Ahmed Mansoor, il quale il 10 agosto del 2016 ha ricevuto un SMS che prometteva di rivelare nuovi dettagli scabrosi su torture perpetrate nelle carceri arabe. Mansoor, che già in passato era stato oggetto di messaggi SMS e mail contenenti degli exploit concepiti per installare software spia, invece di cliccare sul collegamento presente nel messaggio ha inviato il tutto a dei laboratori di ricerca informatica per indagare sulla natura reale del comunicato ricevuto via SMS.
L’intera storia è ben documentata sul sito di Citizen Lab.
Nel caso in cui il cellulare non mostri subito la disponibilità dell’aggiornamento a iOS 9.3.5, per forzarne il download e l’installazione è sufficiente andare in Impostazioni -> Generali-> Aggiornamento software. E’ necessaria una connessione Wi-Fi attiva.
Come sempre, oltre a sollecitare tutti gli utenti a tenere costantemente aggiornato il sistema operativo dei propri device e nel caso specifico di installare subito la patch di sicurezza messa a disposizione da Apple, si raccomanda di trattare con estrema cautela tutti i messaggi che provengono da fonti sconosciute, soprattutto se contengono link a dei siti web.
Rispondi