Attacco iPhone: la risposta di Apple a Google

Secondo Apple le fuorvianti dichiarazioni di Google sulla sicurezza di iOS hanno creato un inutile allarmismo negli utenti di iPhone

apple ios vulnerabilità

La scorsa settimana, il team di ricerca sulla sicurezza Project Zero di Google ha pubblicato informazioni su una grave vulnerabilità in iOS. L’exploit  (o meglio, il gruppo di exploit) ha consentito una “piccola raccolta di siti web compromessi” che, una volta visitati, avrebbero installato il codice per monitorare determinate attività sull’iPhone.

Le falle di sicurezza sono state risolte con le patch rilasciate il 7 febbraio 2019 nell’aggiornamento iOS 12.1.4 . Secondo le informazioni rilasciate all’epoca, i siti che hanno sfruttato le vulnerabilità si rivolgevano a una minoranza etnica in Cina, gli Uiguri, e cercavano di sfruttare anche le falle in Android e Windows.

Apple ha preso le distanze dal recente report di Google, citando non la sua inesattezza tecnica, ma il fatto che ha travisato la portata e l’entità delle falle di sicurezza e il modo in cui sono state sfruttate. In una dichiarazione pubblicata online il 6 settembre, la società di Cupertino afferma: “Abbiamo saputo che i clienti sono preoccupati da alcune affermazioni rilasciate e vogliamo assicurarci che siano tutti a conoscenza dei fatti”.

Apple prosegue illustrando in dettaglio due ragioni per cui ritiene che il report di Project Zero sia fuorviante. In primo luogo, il report afferma che “queste informazioni verranno condivise nel mondo reale con una campagna di massa che sfrutta gli iPhone”. Apple risponde con decisione che gli attacchi erano tutt’altro che “di massa” e rappresentavano solo poche decine di siti web rivolti alla piccola comunità degli Uiguri in Cina. Secondo Apple questa dichiarazione ha fatto sì che le centinaia di milioni di utenti iPhone in tutto il mondo si sentissero attaccati, quando ciò non è mai stato vero. “Indipendentemente dalle dimensioni dell’attacco, prendiamo molto sul serio la sicurezza di tutti gli utenti”, sottolinea Apple.

In secondo luogo, i siti web sono stati operativi solo per circa due mesi, mentre il rapporto dà l’impressione che gli iPhone siano stati hackerati per due anni. Sebbene la vulnerabilità possa essere presente stata in iOS per due anni, è stata individuata e sfruttata in questa piccola comunità solo per un breve periodo.

Apple afferma di aver risolto le vulnerabilità entro 10 giorni dalla loro scoperta e che “quando Google si è rivolta a noi, stavamo già risolvendo i bug”.

La breve dichiarazione si conclude rassicurando gli utenti che Apple prende la sicurezza in modo estremamente serio:

La sicurezza è un viaggio senza fine e i nostri clienti possono essere certi che stiamo lavorando per loro. La sicurezza di iOS non ha eguali perché ci assumiamo la responsabilità della sicurezza del nostro hardware e software. I nostri team per la sicurezza dei prodotti in tutto il mondo si impegnano costantemente per introdurre nuove protezioni e patch delle vulnerabilità non appena vengono rilevate. Non smetteremo mai di lavorare instancabilmente per proteggere i nostri utenti”.

AUTOREJason Cross
FONTEMacworld
CWI.it
Con 12 milioni di lettori in 47 paesi, Computerworld è la fonte di informazione e aggiornamento per tutti coloro che progettano, implementano o utilizzano la tecnologia in azienda.