iOS

Aggiornamento iOS, correzione di bug critici per Mac e iPhone

Apple propone un aggiornamento del sistema operativo che corregge alcuni bug di sicurezza piuttosto critici
Aggiornamento iOS, correzione di bug critici per Mac e iPhone FASTWEB S.p.A.

Apple ha appena annunciato il suo ultimo round di aggiornamenti di sicurezza.

Come al solito, le correzioni di Apple arrivano a sorpresa, data l'insistenza dell'azienda secondo cui le correzioni di sicurezza dovrebbero essere gestite pubblicandole appena sono pronte, anziché seguire un qualsiasi tipo di programma formale. Che un aggiornamento di sicurezza venga consegnato con una pianificazione o espulso improvvisamente, sappiamo che sia i ricercatori che i criminali si affrettano a lavorare sulle patch, usando le differenze tra i vecchi e nuovi file di programma per capire i dettagli degli errori che sono stati corretti.

Le correzioni

Ci sono molte criticità rattoppate, in questa serie di aggiornamenti - quindi vi consigliamo vivamente di aggiornare subito, prima che qualcuno capisca come abusare di questi buchi appena documentati per divertimento o profitto.

In particolare, sia iOS 13 che le tre versioni più recenti di macOS ottengono correzioni per diversi problemi di sicurezza a livello di kernel (le versioni macOS rilevanti sono 10.13, 10.14 e 10.15, meglio conosciute come High Sierra, Mojave e Catalina).

Sono elencati cinque bug del kernel per iOS (e iPadOS) e macOS, indicati come segue:

  • Un'applicazione potrebbe essere in grado di leggere la memoria limitata. Questo tipo di bug significa che un'app normale, che normalmente non sarebbe nemmeno in grado di leggere i dati da altre app, potrebbe essere in grado di recuperare segreti a livello di sistema, come dati decodificati temporaneamente, identificatori univoci per l'attuale utente o dispositivo, o informazioni private su cosa sta facendo l'altro software.
  • Un'applicazione dannosa potrebbe essere in grado di eseguire codice arbitrario con privilegi di sistema. L'RCE, abbreviazione di esecuzione di codice in modalità remota, è una sorta di Santo Graal per gli hacker, poiché consente loro di ingannare il dispositivo per impiantare un programma malware di loro scelta. Potreste non vedere alcun tipo di segnale di avvertimento - RCE di solito significa che i truffatori possono bypassare sia l'App Store che le protezioni di sicurezza del sistema operativo.
  • Un'applicazione dannosa potrebbe essere in grado di determinare il layout della memoria del kernel. Molti bug RCE richiedono a un utente malintenzionato non solo di iniettare codice in memoria, ma anche di prevedere esattamente dove andrà a finire. Sia iOS che macOS utilizzano quindi ASLR, abbreviazione di randomizzazione del layout dello spazio degli indirizzi, per rendere difficile indovinare gli indirizzi di memoria. Quindi un bug di divulgazione del layout di memoria combinato con un RCE può trasformare un attacco "a fortuna" in un exploit "che funziona ogni volta".

 

iOS 12 ottiene patch silenziose

È interessante notare che anche iOS 12, che è ancora supportato per iPhone meno recenti come 6 e 6+ che non possono eseguire iOS 13, ottiene un suo aggiornamento.

Ma la nuova versione, iOS 12.4.5, non è stata annunciata tramite il servizio di posta elettronica Security Advisory di Apple. Per scoprirlo, bisogna controllare direttamente la pagina web generale degli aggiornamenti di sicurezza di Apple, dove l'aggiornamento è ufficialmente elencato:

iOS 12.4.5: questo aggiornamento non ha voci CVE pubblicate.

(iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch di sesta generazione, 28 gennaio 2020.)

CVE, abbreviazione di Common Vulnerabilities and Exposures, è un sistema, sponsorizzato dal governo degli Stati Uniti, che assegna identificatori numerici univoci a bug che sono considerati "vulnerabilità della sicurezza informatica pubblicamente note".

Se questo significa che il nuovo iOS 12 contiene solo correzioni non importanti o minori o che corregge gravi buchi a cui semplicemente non sono ancora stati assegnati numeri CVE, non possiamo dirlo - quindi vi consigliamo di scaricare comunque l'aggiornamento.

Il download è rapido e non richiede molto tempo per l'installazione.

Modifica del rilevamento della posizione per iPhone 11

Un cambiamento degno di nota che è arrivato in iOS 13.3.1, ma che Apple non ha considerato come una correzione di sicurezza, è elencato nella pagina generale di Apple "Informazioni sugli aggiornamenti di iOS 13".

A dicembre 2019, il noto giornalista di cybersecurity Brian Krebs chiese pubblicamente perché il suo iPhone 11 a volte visualizzava l'icona di "accesso ai dati di posizione" anche se aveva il rilevamento della posizione disattivato in ogni app e in tutto il suo sistema Servizi.

Apple chiarì in seguito che l'unico modo per disattivare completamente il rilevamento della posizione era disattivarlo con l'interruttore principale "Servizi di localizzazione".

In altre parole, i singoli "servizi di sistema" si attivavano per le parti del sistema operativo in grado di riconoscere la posizione, e non necessariamente coprivano tutte le funzionalità del kernel. Ciò includeva una nuova funzionalità di trasferimento dati ad alta velocità aggiunta nell'iPhone 11 nota come UWB, abbreviazione di Ultra Wideband.

Come fu spiegato al momento:

"Alcuni paesi hanno regolamentato [l'uso di UWB], apparentemente per paura che possa interferire con le comunicazioni radio esistenti, e quindi Apple ha aggiunto un software di sistema [nell'iPhone 11] che utilizza i dati sulla posizione, purché l'interruttore di posizione principale venga ruotato on, per disabilitare automaticamente UWB come richiesto."

Apple ha ora fornito un nuovo interruttore di servizio di sistema che "aggiunge un'impostazione per controllare l'uso dei servizi di localizzazione da parte del chip U1 Ultra Wideband".

È possibile trovare il nuovo interruttore in Impostazioni > Privacy > Servizi di localizzazione > Servizi di sistema.

Considerate che per accedere all'elenco dei servizi di sistema, dovrete prima attivare i servizi di localizzazione, altrimenti tutti gli interruttori per app e per servizio vengono rimossi dallo schermo.

(Vorremmo che non fosse così e che si potesse controllare le impostazioni della posizione per ciascuna app, prima di attivare i servizi di localizzazione in primo luogo, ma Apple non la vede in questo modo.)

Cosa fare?

Per verificare di avere tutto aggiornato:

  • Su un iPhone o iPad, andate su Impostazioni > Generali > Aggiornamento software.
  • Su un Mac, andate al menu Apple, scegliete Informazioni su questo Mac e cliccate su Aggiornamento software

 

Se il vostro dispositivo si è già aggiornato automaticamente, la schermata di aggiornamento ve lo dirà; in caso contrario vi informerà dell'aggiornamento e si offrirà di installarlo per voi.

30 gennaio 2020

Fonte: nakedsecurity.sophos.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail