Google trova sei vulnerabilità critiche su iOS, cinque sono già state corrette

Google trova sei vulnerabilità critiche su iOS, cinque sono già state corrette

Il team Project Zero ha scoperto sei vulnerabilità critiche su iOS, di cui una è ancora attiva. I dettagli sono stati pubblicati su tutte, ad eccezione di quella ancora sfruttabile

di pubblicata il , alle 20:01 nel canale Apple
AppleiOSGoogle
 

I ricercatori di Google hanno scoperto un totale di sei vulnerabilità gravi nel codice di iOS, il sistema operativo mobile di Apple, e una di queste deve essere ancora corretta. A riportare la novità è stato in origine ZDNet, secondo il quale le falle sono state scoperte da Natalie Silvanovich e Samuel Groß, esperti al servizio del Project Zero di Google. Cinque dei bug segnalati sono stati corretti con l'aggiornamento a iOS 12.4 rilasciato la scorsa settimana.

Tutte le vulnerabilità venute a galla attraverso lo studio dei due ricercatori sono di tipo "interactionless", quindi possono essere eseguite a prescindere dall'attività dell'utente e da un'eventuale interazione. Gli exploit sfruttano una vulnerabilità residua nel client Messaggi e quattro di queste (fra cui quella ancora attiva) possono essere sfruttate inviando un messaggio contenente del codice malevolo su uno smartphone vulnerabile. Basta visualizzare il messaggio per compromettere lo smartphone, senza dover interagire in altro modo.

Le restanti due vulnerabilità sfruttano invece un exploit nella memoria interna. I dettagli sulle vulnerabilità corrette sono stati già pubblicati online, mentre quella ancora attiva rimane confidenziale finché Apple non riesce a chiuderla. Il consiglio è comunque quello di aggiornare subito a iOS 12.4, con ulteriori dettagli degli ultimi attacchi scoperti su iPhone che verranno rilasciati durante la conferenza di sicurezza Black Hat che si terrà a Las Vegas.

E' chiaramente una fortuna che le vulnerabilità sono state scoperte da ricercatori di sicurezza senza alcun interesse nello sfruttarle in maniera malevola. Questo tipo di bug ha un valore molto elevato per gli sviluppatori di strumenti di intercettazione e software di sorveglianza, e il giusto acquirente potrebbe essere disposto a pagare anche milioni di dollari per averne accesso prima di Apple e prima di una eventuale correzione da parte del produttore.

Ha quindi un valore doppio l'intervento di Project Zero, in questo caso, offrendo così un servizio di grande valore per Apple, e di valore inestimabile per tutti gli utenti di dispositivi iOS.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
paranoic01 Agosto 2019, 07:47 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/apple...ette_83722.html

Il team Project Zero ha scoperto sei vulnerabilità critiche su iOS, di cui una è ancora attiva. I dettagli sono stati pubblicati su tutte, ad eccezione di quella ancora sfruttabile

Click sul link per visualizzare la notizia.


Mi ha colpito molto l'affermazione di cui cito

E' chiaramente una fortuna che le vulnerabilità sono state scoperte da ricercatori di sicurezza senza alcun interesse nello sfruttarle in maniera malevola. Questo tipo di bug ha un valore molto elevato per gli sviluppatori di strumenti di intercettazione e software di sorveglianza, e il giusto acquirente potrebbe essere disposto a pagare anche milioni di dollari per averne accesso prima di Apple e prima di una eventuale correzione da parte del produttore.


Diciamo che chi usa sw per intercettare o prelevare dati sensibili da utenti ignari, per clonare carte, rubare identità etc...non arriverà mai ad ammettere la propria identità pagando a qualsiasi sw house avente qualsiasi tipo di oggetto sociale, una parziale o totale consulenza..per scoprire vulnerabilità utili al proprio scopo.

Idem dicasi governi od industrie...

Figurarsi cifre così elevate...che certamente nessuna azienda potrebbe nascondere dai propri bilanci...che il più delle volte sono pubblici e quindi consultabili da qualsiasi giornalista investigativo..o finanziario.

Le intercettazioni, possono essere effettuate solo attraverso l'ok della magistratura e per un limitatissimo periodo di tempo, diversamente si incorre in reati molto seri...e che portano ad sanzioni molto importanti...da parte anche dell'Antitrust e che possono sfiorare anche reati come la concorrenza sleale...quindi dritti nel penale...

Detto ciò secondo me, coloro i quali hanno trovato questi bug, ho idea che dovranno accontentarsi del loro regolare stipendio, fornito da contratto che hanno controfirmato e non sperare che qualche aziende li remuneri per milioni al fine di apprezzare il loro lavoro di ricerca....

Sicuramente le sw house facenti capo ad Apple avrebbero scovato l'arcano bug ed avrebbero rimediato...in tempi brevi senza sborsare milioni per venirne a capo. Secondo me...parlando da ignorante e ignavo.
sbaffo01 Agosto 2019, 11:46 #2
Non capisco perché google debba pagare gente per cercare vulnerabilità di apple invece che trovare le sue. Non è che ad android manchino le vulnerabilità. Piuttosto li pagassero per sorvegliare il play store che è pieno di m...
biometallo01 Agosto 2019, 11:56 #3
Originariamente inviato da: sbaffo
Non capisco perché google debba pagare gente per cercare vulnerabilità di apple invece che trovare le sue.


https://it.wikipedia.org/wiki/Project_Zero_(Google)

Storia
Dopo aver trovato diverse vulnerabilità in software usato da molti utenti finali mentre studiava altre vulnerabilità come "Heartbleed", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. Sebbene l'idea di Project Zero potrebbe risalire al 2010, la sua istituzione si inserisce nella più ampia tendenza di Google di contrastare iniziative di sorveglianza a seguito delle divulgazioni sulla sorveglianza di massa del 2013 di Edward Snowden. Il team era precedentemente guidato da Chris Evans, responsabile del team di sicurezza di Google Chrome, poi passato a Tesla.[2] Altri membri degni di nota sono Ben Hawkes, Ian Beer e Tavis Ormandy.[3]

A me pare che di fatto offrano un servizio prezioso alla comunità, e questo atteggiamento da "che pensino ai problemi loro" mi sembra un po' da ingrati ma sopratutto ingenuo, non scordare che Google è si concorrente di Apple, così come di Microsoft, ma è anche suo partner commerciale dato che su IOS girano anche servizi di Google, quindi di fatto i problemi di sicurezza di IOS possono riguardare anche loro e i loro utenti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^