All’inizio di giugno 2023, la nota azienda di cybersecurity russa Kaspersky ha segnalato una nuova variante di malware per iPhone. Il malware era apparentemente iniettato silenziosamente e automaticamente sui dispositivi infetti, senza che gli utenti dovessero fare un errore di sicurezza o “cliccare sul pulsante sbagliato” per dare al malware la possibilità di attivarsi. Era quindi ragionevole supporre che gli aggressori conoscessero uno o più exploit zero-day strettamente custoditi che potevano essere attivati a distanza via internet.
La vulnerabilità zero-day nel kernel
Di solito, il malware per iPhone che può compromettere un intero dispositivo non solo viola le restrizioni di Apple sui download di software, limitati al “giardino murato” dell’App Store di Apple, ma bypassa anche la separazione delle app di Apple, che dovrebbe limitare la portata (e quindi il rischio) di ogni app a un “giardino murato” proprio, contenente solo i dati raccolti da quella stessa app. Di solito, bypassare sia le restrizioni dell’App Store che le regole di separazione delle app significa trovare qualche tipo di bug zero-day a livello di kernel.
L’aggiornamento di emergenza
Tre settimane dopo l’articolo originale di Kaspersky, come una sorta di regalo di solstizio il 21-06-2023, Apple ha rilasciato patch per tutti i suoi dispositivi supportati (ad eccezione degli Apple TV che eseguono tvOS), correggendo esattamente due gravi falle di sicurezza: CVE-2023-32439, una confusione di tipo in WebKit, e CVE-2023-32434, un overflow di interi nel kernel.
Cosa fare?
Aggiorna presto, aggiorna spesso. Vai su Impostazioni > Generale > Aggiornamento Software subito per verificare che tu abbia già ricevuto le patch necessarie, o per scaricarle se non le hai, e per far passare il tuo dispositivo attraverso il processo di installazione dell’aggiornamento. Dopo l’aggiornamento, ecco i numeri di versione da cercare, insieme ai bollettini Apple dove sono descritti ufficialmente.