Una falla di sicurezza nei sistemi operativi iOS, macOS, watchOS di Apple e nel browser web Safari potrebbe consentire ad un attaccante remoto di prendere il pieno controllo dei dispositivi vulnerabili semplicemente sfruttando l’esecuzione di contenuti Web appositamente elaborati.
Se sfruttata con successo, la vulnerabilità potrebbe esporre qualunque dispositivo ad un attacco hacker e per questo motivo la stessa Apple si è affrettata a rilasciare una patch “out-of-band”, cioè un aggiornamento straordinario reso disponibile in un momento diverso dal normale tempo di rilascio degli update di sicurezza.
L’aggiornamento è disponibile per i dispositivi che eseguono iOS 14.4, iPadOS 14.4, macOS Big Sur, e watchOS 7.3.1 (Apple Watch Series 3 e successivi) e come un aggiornamento di Safari per i MacBook con sistema operativo macOS Catalina e macOS Mojave.
I dettagli del bug che mette a rischio i dispositivi Apple
Tracciata come CVE-2021-1844, la vulnerabilità è stata scoperta e segnalata dai ricercatori Clément Lecigne del Threat Analysis Group di Google e Alison Huffman del Microsoft Browser Vulnerability Research.
Secondo le note di aggiornamento pubblicate da Apple, la grave vulnerabilità si verifica a causa di un problema di corruzione della memoria che potrebbe portare all’esecuzione di codice arbitrario quando si elaborano contenuti Web appositamente creati.
In pratica, è sufficiente che un utente venga dirottato con tecniche di hijacking su un sito Web malevolo per consentire ad un attaccante remoto di eseguire codice arbitrario e così prendere il controllo del dispositivo esposto.
Secondo Pierluigi Paganini, CEO di CYBHORUS, “falle come questa risolta da Apple sono particolarmente insidiose e ci ricordano quando sia ampia la nostra superficie di attacco. Parliamo di vulnerabilità che possono essere sfruttate in remoto per eseguire codice arbitrario sul dispositivo delle vittime. Le modalità di attacco sono semplici: tipicamente è sufficiente far s^ che la vittima apra una pagina Web appositamente concepita per sfruttare la falla e questo è possibile condividendo un link via mail o messaggi attraverso le molteplici app che usiamo”.
“Queste vulnerabilità sono inoltre una componente fondamentale dei diversi software di sorveglianza che sono utilizzati per spiare sugli utenti”, continua Paganini, secondo cui “combinando queste falle con altre vulnerabilità è possibile prendere il controllo del dispositivo da remoto”.
“Ancora una volta”, è il consiglio dell’analista di sicurezza, “è importante mantenere il sistema operativo dei nostri dispositivi sempre aggiornato, così come le app installate. Allo stesso modo, occorre valutare di installare soluzioni di sicurezza in grado di proteggerci da minacce di ogni genere”.
Al momento, per fortuna, non ci sono prove che la vulnerabilità CVE-2021-1844 sia già stata sfruttata da attori criminali.
Non bisogna, però, sottovalutarne la gravità: già lo scorso gennaio Apple ha rilasciato una patch per tre vulnerabilità zero-day (CVE-2021-1782, CVE-2021-1870, e CVE-2021-1871) che potevano consentire ad un attaccante di elevare i propri privilegi sul dispositivo target e ottenere l’esecuzione di codice da remoto. Queste stesse patch sono poi state successivamente sfruttate dal team che ha sviluppato lo strumento di jailbreak unc0ver per sbloccare quasi ogni singolo modello di iPhone con la versione 14.3 di iOS.