Secondo quanto riferito dai ricercatori Clément Lecigne del Threat Analysis Group (TAG) di Google e Donncha Ó Cearbhaill, capo del Security Lab di Amnesty International, sono state sfruttate delle vulnerabilità che hanno reso possibile compromettere iPhone e iPad nelle ultime settimane.
Segnalato con il caso CVE-2023-28205, si tratta di un problema del motore del browser WebKit, utilizzato da Safari e da tutti i browser web su iOS e iPadOS. Il difetto può essere attivato tramite contenuto web creato in modo dannoso e può portare all’esecuzione di codice dannoso.
CVE-2023-28206 è un problema di scrittura che può essere sfruttato da un’app dannosa per eseguire codice arbitrario con privilegi del kernel.
Il primo può essere utilizzato per eseguire un attacco drive-by, zero-click con conseguente installazione silenziosa di malware sul dispositivo di destinazione. Quest’ultimo consente agli aggressori di sfuggire alla sandbox di Safari e ottenere l’accesso completo al sistema.
Un bug serio
Da venerdì 7 aprile, Apple ha rilasciato aggiornamenti di sicurezza per le versioni più recenti di macOS (13.3.1), iOS e iPad OS (16.4.1), quindi ha rapidamente eseguito il backport delle patch per correggere i difetti nelle versioni precedenti (macOS 12.6.5 e 11.7.6 e iOS/iPad 15.7.5).
Gli utenti di macOS Monterey e Big Sur devono implementare l’aggiornamento del sistema operativo e l’aggiornamento di Safari per eliminare entrambi i bug.
Sfortunatamente, non sono disponibili dettagli sugli attacchi eseguiti sfruttando CVE-2023-28205 e CVE-2023-28206. Come notato in precedenza, il fatto che il Security Lab di Amnesty International sia stato coinvolto nella scoperta indica che le vulnerabilità vengono sfruttate in attacchi limitati per installare spyware su dispositivi appartenenti a persone importanti. Tuttavia, si consiglia a tutti gli utenti Mac, iPhone e iPad di aggiornare i propri sistemi operativi il prima possibile.