C'è una falla su una app iOs: iPhone e iPad non protetti

Un difetto nell'applicazione relativa alle mail sta mettendo a rischio la privacy di moltissimi ultilizzatori dei dispositivi Apple, specie quelli di iPhone e iPad. A lanciare l'allarme è ZecOps, una società di San Francisco che opera nell'ambito della sicurezza mobile.

A seguito di una indagine di routine condotta a fine 2019, ZecOps ha rilevato una serie di eventi sospetti che interessavano l'applicazione di posta predefinita su iOS risalente a gennaio 2018. Analizzando una sequenza di anomalie segnalate da un cliente, gli esperti hanno rilevato una vulnerabilità dei dispositivi iPhone e Ipad, con qualunque versione di iOS e iPadOs, che consentirebbero ad eventuali hacker di rubare da remoto i dati dell'utente violandone pericolosamente la privacy.

Lo scopo dell'attacco consiste nell'invio di un'e-mail nella casella di posta elettronica della vittima in modo che la stessa, nel tentativo di visualizzarne il contenuto, inneschi un meccanismo di sucettibilità dell'applicazione iOS MobileMail su iOS 12 o maild su iOS 13. Il cliente può accorgersi di essere caduto nella trappola da un rallentamento temporaneo della propria applicazione Mail o da un arresto improvviso. Basterà, infatti, avere l’app aperta in background e ricevere l’email dell'hacker per compromettere il dispositivo. Un messaggio di posta elettronica predisposto per l’attacco, infatti, sarà in grado di consumare molta più Ram del previsto, causando un arresto anomalo dell’applicazione: sarà proprio in quella finestra di tempo che si realizzerà l’obiettivo dell’hacker, avendo così accesso ai dati presenti sul dispositivo. Nel caso in cui il tentativo di hackeraggio non fosse andato a buon fine, si noterà, invece, l'arrivo di una e-mail priva di testo .

Apple è al corrente della falla ed ha già provveduto alla elaborazione di una nuova patch che sarà disponibile nelle prossime settimane con un aggiornamento precipuo. Il rilascio della correzione da parte di Cupertino, tuttavia, sarà tardivo perché - secondo quanto fa sapere ZecOps - le vulnerabilità sarebbero già state sfruttate in almeno sei differenti attacchi, rivolti a personaggi di alto profilo, tra cui un dirigente di un operatore di telefonia mobile in Giappone e diverse persone appartenenti a un’organizzazione del Nord America che rientra nella lista di Fortune 500. Ad ogni modo, la patch correttiva è già scaricabile per l’ultima versione beta.