L'ANALISI TECNICA

unc0ver, il jailbreak “sicuro” adesso sblocca anche gli iPhone con iOS 14.3: i dettagli

unc0ver è il jailbreak rilasciato lo scorso anno che consente di sbloccare gli iPhone e gli iPad mantenendone intatte le funzioni di sicurezza: è ora disponibile un aggiornamento compatibile anche con iOS 14.3. Ma il tool di jailbreaking potrebbe essere usato anche per scopi malevoli

03 Mar 2021
Paolo Tarsitano

Editor Cybersecurity360.it

È stata rilasciata la nuova versione v6.0.0 di unc0ver, il tool per il jailbreak degli iPhone e degli iPad che ora supporta anche iOS 14.3 (oltre alle versioni precedenti fino alla 11), rendendo così possibile sbloccare quasi ogni singolo modello di iPhone e iPad sfruttando una vulnerabilità zero-day già attivamente sfruttata in natura, come confermato lo scorso gennaio dalla stessa Apple.

In un tweet pubblicato da Pwn20wnd, principale sviluppatore del gruppo hacker che ha sviluppato unc0ver, si legge che l’exploit basato sulla vulnerabilità CVE-2021-1782 è stato scritto “per ottenere una velocità e stabilità ottimali” ed espandere la compatibilità di unc0ver per eseguire il jailbreak di qualsiasi dispositivo con iOS 11.0 fino a iOS 14.3, comprese anche le versioni 12.4.9-12.5.1, 13.5.1-13.7, e 14.0-14.3.

La vulnerabilità è stata affrontata da Apple come parte degli aggiornamenti per la versione 14.4 di iOS e iPadOS rilasciati il 26 gennaio scorso, ammettendo che il problema potrebbe essere stato sotto attacco attivo da parte di attori cattivi, anche se non sono stati rivelati dettagli né sulla diffusione dell’attacco né sull’identità degli attaccanti.

unc0ver e il jailbreaking degli iPhone

Il jailbreaking, lo ricordiamo, è una procedura che, grazie ad una escalation di privilegi (analogamente a quanto accade con il rooting dei dispositivi Android) consente di rimuovere le restrizioni hardware e software implementate da Apple all’interno del suo sistema operativo.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

In questo modo, è possibile ottenere l’accesso come root al file system, installare sui dispositivi “jailbroken” anche software di terze parti non disponibile nell’App Store oppure personalizzare l’interfaccia e le funzionalità del sistema operativo.

unc0ver rappresenta il primo jailbreak a sfruttare uno zero-day dopo quello che circa quattro anni fa permise di sbloccare iOS 8, così come confermato da un altro post su Twitter pubblicato sempre da Pwn20wnd in occasione del rilascio della versione v5.0.0 del tool che jailbreak.

unc0ver: i dettagli del jailbreak

Lo sviluppo di unc0ver ha seguito diverse fasi.

Originariamente, la vulnerabilità zero-day che ha consentito di mettere a punto il tool di jailbreaking sarebbe stata scoperta proprio da Pwn20wnd mentre stava “lavorando” ad un altro jailbreak (unc0ver 3.5.0) rilasciato ad agosto del 2019 per alcuni dispositivi iOS e che sfruttava una vulnerabilità nel modulo SockPuppet (identificata come CVE-2019-8605 e scoperta dal ricercatore Ned Williamson del Google Project Zero) poi corretta da Apple a partire dalla versione 12.3 di iOS e successive.

Questo spiegherebbe anche perché la vecchia versione di unc0ver non funzionava nelle versioni comprese tra la 12.3 e la 12.3.2 e tra la 12.4.2 e la 12.4.5 di iOS.

A suo tempo, il gruppo hacker che ha sviluppato unc0ver non specificò qual era la vulnerabilità sfruttata dal tool, ma confermò di averlo testato con successo sui modelli di iPhone dal 6S fino al nuovo 11 Pro Max.

Ora il rilascio di unc0ver v.6.0.0 potrebbe quindi consentire di riuscire a sbloccare praticamente tutti i modelli di iPhone e iPad attualmente disponibili.

C’è da dire anche che lo scorso maggio, sempre il team unc0ver ha rilasciato un jailbreak simile per gli iPhone con iOS dalla versione 11 alla iOS 13.5 sfruttando un problema di consumo di memoria nel kernel (CVE-2020-9859), che però è stato patchato da Apple nel giro di pochi giorni con il rilascio di iOS 13.5.1 proprio per evitare che la vulnerabilità venisse sfruttata in modo malevolo.

Infine, per completezza di informazione, è bene anche ricordare che a settembre 2019 un altro ricercatore di sicurezza ha pubblicato i dettagli di un exploit di tipo bootrom permanente e non patchabile, chiamato checkm8, che potrebbe essere impiegato per effettuare il jailbreak di praticamente ogni tipo di dispositivo mobile Apple rilasciato tra il 2011 e il 2017, compresi iPhone, iPad, Apple Watch e Apple TV.

È un jailbreak, facciamo attenzione

unc0ver può essere utilizzato da iOS stesso, da macOS, Windows e Linux e, secondo i suoi creatori, è sicuro in quanto non va a compromettere le funzioni di sicurezza del sistema operativo. In particolare, va a modificare ma non a compromettere la sandbox integrata in iOS e quindi non dovrebbe esporre il dispositivo a possibili attacchi hacker.

Per questo motivo, a differenza di altri jailbreak, unc0ver non impedisce l’uso di servizi Apple come iCloud, Apple Pay o iMessage. In pratica, va ad aggiungere nuove eccezioni alle regole di sicurezza implementate da Apple e, sebbene sblocchi il file system del dispositivo, non consente l’accesso alle aree di memoria che contengono dati dell’utente.

Inoltre, dai feedback pubblicati da utenti che hanno già applicato il jailbreak al loro dispositivo, unc0ver risulta essere anche molto stabile e parsimonioso nel consumo di batteria del dispositivo.

Ciononostante, si tratta pur sempre di un jailbreak dei dispositivi iOS che presenta comunque un potenziale rischio per la sicurezza. Sbloccare il proprio iPhone e consentire l’installazione di app iOS non revisionate potrebbe aprire le porte del dispositivo a malware e altre app malevoli.

Articolo pubblicato lo scorso 28 maggio 2020 e aggiornato in seguito al rilascio della nuova versione di unc0ver.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr