Dopo la condivisione da parte del Google Project Zero dei dettagli su diverse vulnerabilità di iOS che hanno consentito a siti web malevoli di accedere agli iPhone di ignari utenti, Apple ha deciso di rispondere con una lettera scritta per rassicurare gli utenti.
La scorsa settimana, il Project Zero ha dichiarato di aver scoperto cinque diversi exploit di iOS che per anni hanno sfruttano 12 bug di sicurezza, di cui sette coinvolgevano direttamente Safari su iPhone. I cinque exploit consentivano a chi attaccava di avere accesso “root” al dispositivo, praticamente il più alto livello di privilegio possibile su iPhone. Questo significa che l’attaccante poteva avere accesso a tutte le funzioni del dispositivo, anche a quelle vietate normalmente all’utente. Tradotto in termini pratici, l’hacker poteva ad esempio installare app dannose per spiare il proprietario dell’iPhone a sua insaputa. I bug sono stati condivisi con Apple a febbraio e subito dopo l’azienda ha corretto tutti i problemi con iOS 12.1.4.
Nel post pubblicato oggi, Apple afferma che l’attacco è stato molto ristretto e non ha colpito su larga scala come invece si poteva desumere dal report del Project Zero. Secondo Apple, sono stati colpiti meno di una dozzina di siti web destinati esclusivamente ai musulmani uiguri (ne avevamo già parlato qui). Inoltre, Apple afferma che Google ha volutamente amplificato le dimensioni del problema per allarmare gli utenti.
Ecco la lettera completa pubblicata da Apple:
La scorsa settimana, Google ha pubblicato un post sulle vulnerabilità di iOS che Apple aveva già corretto a febbraio. Siamo stati contattati da molti clienti e vogliamo spiegare a tutti la realtà dei fatti.
Innanzitutto, l’attacco è stato molto ristretto e non si è trattato di un exploit su larga scala come descritto da Google. L’attacco ha colpito meno di una dozzina di siti Web incentrati sulla comunità uigura in Cina. Indipendentemente dalla portata dell’attacco, prendiamo molto sul serio la sicurezza di tutti gli utenti.
Il post di Google, pubblicato sei mesi dopo il rilascio delle patch iOS, crea la falsa impressione che ci sia stato uno “sfruttamento diffuso” atto a “monitorare le attività private di intere popolazioni in tempo reale“, alimentando la paura tra tutti gli utenti iPhone che i loro dispositivi siano stati compromessi. Non è mai stato questo il caso.
In secondo luogo, tutte le prove indicano che questi attacchi dai siti web siano stati attivi solo per un breve periodo, circa due mesi, non “due anni” come suggerisce Google. Abbiamo risolto le vulnerabilità in questione nel mese di febbraio, lavorando molto rapidamente per risolvere il problema in appena 10 giorni da quando ne siamo venuti a conoscenza. Quando Google ci ha contattato, eravamo già all’opera per risolvere i bug sfruttati.
La sicurezza è un percorso che non ha mai fine e i nostri clienti possono essere certi che lavoriamo sempre per loro. La sicurezza di iOS non ha eguali perché ci assumiamo la responsabilità, end to end, per la sicurezza del nostro hardware e software. I nostri team che lavorano sulla sicurezza dei prodotti in tutto il mondo continuano a introdurre nuove protezioni e patch alle vulnerabilità non appena vengono scoperte. Non smetteremo mai di lavorare instancabilmente per garantire la sicurezza dei nostri utenti.
Apple ha risolto questi problemi in iOS 12.1.4 rilasciato a febbraio 2019.
