Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza


Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple Watch), aggiornatelo subito. Apple ha rilasciato o sta rilasciando aggiornamenti d’emergenza per bloccare una vulnerabilità che consente di mettere a segno un attacco invisibile senza richiedere alcuna azione da parte della vittima. L’attacco consente di attivare telecamere e microfono, registrare messaggi, SMS, mail telefonate (comprese quelle cifrate con app come Signal).

La vulnerabilità, denominata CVE-2021-20860, colpisce tutti gli iPhone con iOS

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di tvOS e la versione 7.6.2 di watchOS risolvono il problema. Apple ha informazioni sugli aggiornamenti qui e qui.

La vulnerabilità è stata scoperta da Citizen Lab, riguarda iMessage e viene sfruttata per esempio per iniettare un malware, denominato Pegasus, che è stato sviluppato dalla società israeliana NSO Group ed è già stato usato per penetrare negli iPhone di vari attivisti politici in modo completamente invisibile.

Anche se non siete dissidenti o attivisti, il fatto che esista questa vulnerabilità è ora di dominio pubblico e quindi è presumibile che verrà sfruttata anche dalla criminalità informatica comune per attacchi su bersagli meno sensibili. In altre parole, per colpire anche utenti comuni.

L’attacco, spiega Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo PDF malformato causa un crash di IMTranscoderAgent sul dispositivo (dovuto a un integer overflow nella libreria CoreGraphics di rendering delle immagini), e il crash consente l’esecuzione di codice malevolo sul dispositivo attaccato.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Commenti