iPhone, l'exploit giunge via SMS

Basta un SMS per prendere completo controllo di qualsiasi iPhone al mondo. Basta un SMS per telefonare con il telefono altrui, per attivare la videocamera del dispositivo, per navigare sul Web o per qualsiasi altra operazione: il tutto da remoto, all’insaputa dell’utente. Quest’ultimo, a salvaguardia della propria privacy e del proprio dispositivo, ha una sola possibilità: spegnere tutto ed aspettare una patch.

L’allarme giunge da Charlie Miller e Collin Mulliner: la loro scoperta è presentata in occasione della Black Hat cybersecurity conference, ma le anticipazioni già avevano suggerito massima allerta. Secondo quanto rivelato, infatti, «chiunque può prendere rapidamente il controllo di qualsiasi iPhone al mondo […] È una cosa seria. L’unica cosa che si può fare per prevenire l’attacco è spegnere il telefono». Secondo Miller è sufficiente inviare un SMS apposito e le porte dell’iPhone verranno trovate spalancate, con serie conseguenze per i dati, le informazioni e le azioni praticabili tramite il telefono con la mela.

Apple sarebbe stata avvisata del problema già un mese fa contestualmente al primo monito della SyScan di Singapore, ma da Cupertino non è giunta nel frattempo né risposta né patch alcuna. I due ricercatori rendono pertanto pubblica la scoperta in concomitanza con similari vulnerabilità registrate nel sistema operativo Android. Secondo Miller gli SMS sono un veicolo formidabile per gli attacchi in mobilità: sono concettualmente semplici, non richiedono interazione da parte dell’utente e per proporre l’attacco un eventuale malintenzionato non necessita di altro che non del numero di telefono da colpire. Quest’ultima indicazione identifica peraltro una potenziale viralità dell’attacco, poiché un SMS maligno potrebbe propagarsi tramite la rubrica dell’utente divenendo a tutti gli effetti un worm in grado di auto-riprodursi.

Non è chiaro quali siano i limiti attuali dell’attacco e quali possano essere le azioni praticabili sui telefoni colpiti. Quel che emerge è però che le patch rilasciate in fretta e furia da Microsoft sono relative ad una vulnerabilità che verrà sviscerata contestualmente alla stessa conferenza che ora minaccia da vicino l’iPhone.