Le vulnerabilità critiche sono state individuate dai ricercatori di Project Zero, il team del colosso di Mountain View che si occupa di sicurezza informatica. Cinque sono state risolte grazie all’aggiornamento 12.4 del sistema operativo
Gli esperti di “Project Zero”, il team di Google che si occupa di sicurezza informatica, hanno diffuso delle informazioni relative a sei vulnerabilità critiche individuate in iOS, il sistema operativo presente negli iPhone, negli iPod Touch e negli iPad. Cinque di questi bug sono stati risolti del tutto grazie all’aggiornamento a iOS 12.4, in distribuzione dal 22 luglio. L’ultimo update non ha però corretto completamente la sesta vulnerabilità individuata dai ricercatori, di cui non sono stati al momento diffusi i dettagli.
Le vulnerabilità individuate da Project Zero
Quasi tutte le vulnerabilità individuate sono insidiose, in quanto consentono ai malintenzionati di infettare il dispositivo da remoto, semplicemente inviando un messaggio tramite l’applicazione iMessage. Quando l’utente apre l’sms possono verificarsi due situazioni: quattro bug, infatti, determinano l’esecuzione di codice dannoso per il device, mentre gli altri due permettono a una persona diversa dall’utente di sottrare dati dalla memoria e di leggere da remoto i file salvati. La società di ricerca Zerodium ha stimato che il valore delle sei vulnerabilità individuate da Project Zero è pari a 1 milione di dollari l’una. Secondo la valutazione di Crowdfense, un’altra azienda attiva nello stesso settore, il valore di ogni singolo bug ammonta a 2-4 milioni di dollari. Nel corso di Black Hat USA 2019, la conferenza annuale sulla sicurezza informatica, Natalie Silvanovich e Samuel Groß, i ricercatori di Project Zero che hanno contribuito maggiormente a individuare le vulnerabilità in iOS, dimostreranno cinque dei sei attacchi.
Il Vulnerability Reward Program
In passato, Google ha dimostrato di essere disposta a ricompensare adeguatamente chi scopre delle vulnerabilità nei suoi software. Nel corso del 2018 il colosso di Montain View ha speso ben 3.4 milioni di dollari in premi corrisposti ai ricercatori che hanno individuato dei bug nei prodotti della società. L’apposito schema è stato chiamato Vulnerability Reward Program ed è attivo da novembre 2010.
