Vulnerabilità grave su iMessage: Trust Wallet lancia l'allarme, ma è polemica sulle modalità di divulgazione

La società che fornisce un wallet per criptovalute afferma di essere a conoscenza dell'esistenza di una grave vulnerabilità su iMessage, suggerendo di disattivare il servizio di Apple. Ma i modi con cui ha divulgato l'accaduto sono oggetto di critica
di Andrea Bai pubblicata il 16 Aprile 2024, alle 15:11 nel canale AppleAppleiOS
Trust Wallet, uno dei principali fornitori di soluzioni per l'auto custodia delle criptovalute, ha lanciato nelle scorse ore un allarme che ha diffuso preoccupazione e nervosismo nel mondo crypto: la società ha infatti pubblicato un messaggio su Twitter in cui afferma di essere a conoscenza di "informazioni credibili" secondo le quali sarebbe presente una vulnerabilità all'interno della funzione iMessage sui dispositivi iOS che consentirebbe ad un hacker di poter prendere il controllo del dispositivo senza che sia necessaria alcuna interazione da parte degli utenti.
1/2: ⚠️ Alert for iOS users: We have credible intel regarding a high-risk zero-day exploit targeting iMessage on the Dark Web.
— Trust Wallet (@TrustWallet) April 15, 2024
This can infiltrate your iPhone without clicking any link. High-value targets are likely. Each use raises detection risk. #CyberSecurity
La vulnerabilità sarebbe già nota negli ambienti del dark web, con i relativi dettagli di sfruttamento in vendita per circa 2 milioni di euro. L'azienda sostiene che questa vulnerabilità potrebbe essere usata da hacker finanziariamente motivati contro bersagli di alto profilo. Trust Wallet ha suggerito quindi di disabilitare la funzionalità iMessage dalle impostazioni di iOS.
Se da un lato l'avvertimento di Trust Wallet è certamente preoccupante, anche per via del fatto che questa vulnerabilità non richiederebbe alcun intervento da parte dell'utente, dall'altro si è sollevata una certa perplessità circa la reale credibilità delle fonti anonime citate dalla società e dell'inconsistenza delle prove portate a supporto dell'avvertimento.
Non solo: la società viene anche accusata di aver adottato un comportamento irresponsabile, in quanto una vulnerabilità di tale gravità dovrebbe essere comunicata prima ai diretti interessati (Apple, in questo caso) secondo i principi di divulgazione responsabile e solo dopo, con tempistiche concordate, essere resa nota al pubblico.
Due to this post getting a lot of views & comments, we thought we'd elaborate further for the community:
— Trust Wallet (@TrustWallet) April 15, 2024
How did we come by this intel?
Trust Wallet is constantly monitoring multiple avenues for any and all security threats to our users, alongside security partners &… https://t.co/Z7vFtMENIp
La società è successivamente intervenuta nel tentativo di chiarire l'origine delle informazioni in suo possesso, riferendosi genericamente ad un team di partner e ricercatori affidabili esperti in temi di sicurezza informatica e mostrando alcuni screenshot di annunci di vendita della vulnerabilità ritrovati sul dark web.
Threat intel detected an iOS iMessage zero-day exploit for sale in the Dark Web. It is a zero click exploit to take over control of the phone via iMessages. Its asking price is $2M. This would make sense for very high value individual targets, as more the zero-day is used,… https://t.co/KTKgW6uCuv pic.twitter.com/6ULRgVSxjc
— Eowync.eth (@EowynChen) April 15, 2024
Trust Wallet ha voluto sottolineare di non essere avversa ai prodotti e servizi della Mela, ma ha ribadito che in situazioni delicate come questa "prevenire è meglio che curare", suggerendo nuovamente di disabilitare iMessage e usare altri servizi di messaggistica o gli SMS.
Apple sarà ora spinta ad approfondire la questione e, nel caso in cui venga effettivamente riscontrata una vulnerabilità, dovrà intervenire il più rapidamente possibile con un aggiornamento software: al di là dei pericoli specifici per gli utenti crypto, la possibilità di prendere il controllo del dispositivo senza alcuna interazione da parte dell'utente è un problema di sicurezza grave che interessa il pubblico più ampio.
Il post su Twitter di Trust Wallet ha riscosso un'ampia attenzione da parte del pubblico ricevendo, al momento in cui scriviamo, oltre 3 milioni di visualizzazioni dalla sua pubblicazione.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info(ho letto post per info sicurezza, non per crypto..)
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".