IPhone hackerati per due anni da siti malevoli: la scoperta di Google
TecnologiaIl team di Google Project Zero ha scoperto una grave falla di sicurezza che permetteva ai siti infetti di accedere a credenziali, foto e messaggi degli iPhone che li visitavano
Per ben due anni, gli iPhone di Apple sono stati hackerati da alcuni siti malevoli che, quando visitati, sfruttavano una grave falla di sicurezza scoperta da un gruppo di ricercatori di Google Project Zero. È lo stesso team di Mountain View a comunicarlo sul proprio blog ufficiale: la vulnerabilità sarebbe stata segnalata a Cupertino a febbraio e l’azienda l’avrebbe poi risolta nel giro di alcuni giorni. Tuttavia il bug sarebbe perdurato almeno due anni, durante i quali i siti infetti, visitati ogni settimana da migliaia di utenti, potevano avere accesso agli iPhone e anche a molte informazioni sensibili contenute nei dispositivii.
La falla che permetteva di hackerare gli iPhone
La vulnerabilità 0-day scoperta da Google Project Zero veniva sfruttata da alcuni siti malevoli senza alcuna discriminante per quanto riguarda gli obiettivi degli attacchi. Semplicemente, spiegano i ricercatori, una “semplice visita al sito compromesso era sufficiente affinché il server attaccasse il dispositivo e, in caso di successo, installasse un impianto di monitoraggio”. Le vulnerabilità rilevate da Google riguardavano quasi ogni versione del sistema operativo di Apple “da iOS 10 a iOS 12”: per un periodo di circa due anni chi visitava i siti a rischio dava la possibilità ai pirati informatici di accedere ai dati sulla posizione in tempo reale e credenziali, oltre a database apparentemente sicuri come quelli di WhatsApp e iMessage, quindi a foto e messaggi ricevuti e inviati su queste piattaforme.
Apple, vulnerabilità risolta in sette giorni
Google Project Zero afferma di aver segnalato a Apple le vulnerabilità di iOS l’1 febbraio 2019, dando all’azienda una scadenza di sette giorni per risolvere il problema. Come sottolinea The Verge, si tratta di un termine molto minore rispetto ai soliti 90 giorni concessi in casi simili, un particolare che probabilmente è indice della gravità della falla di sicurezza scoperta da Google. Infine, Apple ha corretto le vulnerabilità rilasciando iOS 12.1.4 il 7 febbraio 2019.
