Apple ha diffuso un importante aggiornamento per i suoi sistemi operativi, ed è consigliato installarlo il prima possibile. La nuova versione, infatti, chiude una falla di sicurezza che poteva essere sfruttata per sottrarre le password dal proprio dispositivo, semplicemente attraverso un messaggio di testo contente un’immagine. L’aggiornamento 9.3.3 di iOS risolve questo malfunzionamento, reso pubblico solo nel momento in cui Apple ha messo a disposizione la soluzione.
La falla è stata scoperta da Tyler Bohan, un esperto di sicurezza informatica, all’intero del servizio ImageIO utilizzato per la gestione dei dati legati alle immagini. Un utente malintenzionato poteva mettere insieme qualche linea di codice e inviarla tramite un messaggio multimediale (MMS), usando un formato TIFF dell’immagine. Aprendo il messaggio, iOS avrebbe poi eseguito il codice all’insaputa del ricevente, dando la possibilità a chi lo aveva inviato di ottenere il controllo di parte del telefono.
Un attacco simile poteva essere eseguito anche attraverso Safari, il browser predefinito di iOS e di Mac OS: sarebbe stato sufficiente aprire un sito contenente il codice per sfruttare la falla di sicurezza. Anche in questo caso non sarebbe stata necessaria nessuna interazione diretta da parte degli utenti, inconsapevoli di essere esposti a un potenziale attacco.
Una volta ottenuto l’accesso, un utente malintenzionato avrebbe potuto ottenere diverse informazioni, comprese le password e le credenziali di accesso memorizzate nel dispositivo. Il sistema non permetteva invece di ottenere il pieno controllo dell’iPhone o del Mac interessato. Nel complesso il problema riguardava tutti i sistemi operativi di Apple: iOS, Mac OS X, tvOS e watchOS.