15 CONDIVISIONI

Un bug di iOS 15 permette di leggere le note da un iPhone bloccato

La prova della vulnerabilità scovata all’interno di iOS 15 è stata pubblicata su YouTube sotto forma di video, motivo per cui è facile immaginare che un rimedio sia alle porte. Il bug sfrutta Siri e la funzionalità Voiceover per ingannare il sistema operativo e aprire l’accesso alle note del telefono.
A cura di Lorenzo Longhitano
15 CONDIVISIONI
Immagine

L'installazione di iOS 15 porta sugli iPhone numerose novità, ma come tutti gli aggiornamenti software nuovi di zecca contiene alcune imperfezioni. La più bizzarra l'ha rilevata lo sviluppatore ed esperto di sicurezza informatica Jose Rodriguez e in realtà non è di poco conto: si tratta di una falla che permette a eventuali malintenzionati superare la schermata di blocco del telefono per accedere in particolare al contenuto dell'app Note, e quindi a informazioni potenzialmente personali come nomi, cognomi, indirizzi e password.

Rodriguez ha pubblicato i dettagli del bug su YouTube, dove mostra la procedura che può portare a sbloccare un iPhone senza bisogno della password. Nella clip il procedimento non viene descritto in ogni singolo dettaglio, e non è duque riproducibile a meno di non sapere con precisione cosa il ricercatore sta facendo sullo schermo; dalle immagini è però chiaro l'utilizzo di una tecnica conosciuta e già sfruttata in passato per operazioni simili: l'utilizzo di Siri e della modalità Voiceover che legge ad alta voce per gli ipovedenti tutti gli elementi presenti sullo schermo. Questi due sottosistemi modificano il comportamento del telefono per renderlo più comodo o accessibile, ma al contempo – dimostrano il video di Rodriguez e gli attacchi subiti negli anni scorsi – lo rendono più vulnerabile.

Il ricercatore aveva già scovato il bug all'interno di versioni precedenti di iOS, e ai tempi poteva essere utilizzato per accedere addirittura alle app di messaggistica. Dopo essere stata avvisata, Apple ha risolto parzialmente il problema, senza però prevenire la possibilità di accedere a un'app non esattamente secondaria come le note del telefono. Rodriguez a questo punto ha scelto di pubblicare la clip per sensibilizzare il gruppo e allo stesso tempo per criticarne la politica relativa alle ricompense riservate ai ricercatori che scoprono nuove falle di sicurezza nei software della casa di Cupertino.

A questo punto è facile immaginare che un rimedio sia in arrivo. Nel frattempo eventuali attacchi restano improbabili; per chi desidera essere particolarmente prudente, meglio evitare di lasciare il telefono incustodito per troppo tempo fino all'arrivo di un ulteriore aggiornamento che corregga il problema.

15 CONDIVISIONI
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
api url views