Dopo aver ricevuto delle indicazioni da parte dei laboratori Talos di Cisco relativamente alla presenza di cinque vulnerabilità sia su iOS sia su Mac OS X – che avevano delle similitudini con i bug della libreria Stagefright di Android, poi risolti – Apple ha posto rimedio alla problematica. Quali rischi implicavano le vulnerabilità scoperte da parte di Tyler Bohan, collaboratore della divisione di ricerca e sviluppo di soluzioni per la sicurezza di Cisco?
Lo stesso ricercatore è stato in grado di spiegare come, attraverso l’utilizzo di una immagine contraffatta ad arte da un malintenzionato, inviata come allegato per e-mail, fosse possibile eseguire codice malevolo su ogni device dell’azienda di Cupertino, non richiedendo in questo senso alcun tipo di azione da parte del proprietario del dispositivo perché la circostanza (con tutte le sue conseguenze) si verificasse.
La fonte dell’immagine – sempre secondo quanto reso noto – sarebbe potuta essere anche iMessage, messaggi MMS o anche un contenuto presente sul web: in seguito all’intervento da parte dei programmi di Cupertino per elaborare in maniera immediata una miniatura dell’immagine, non appena individuata la stessa, sarebbe anche stato scaricato il codice malevolo contenuto nella stessa sul device, con la successiva esecuzione.
Per quanto i privilegi di esecuzione del codice siano ereditati direttamente dall’app attraverso cui sia avvenuto il download dell’immagine, attraverso alcuni escamotage l’hacker avrebbe potuto esporre il device colpito a rischi maggiori, per esempio sfruttando una botnet per l’installazione di software malevolo.
Nel frattempo, Apple ha posto rimedio alle vulnerabilità con gli aggiornamenti iOS 9.3.3, tvOS 9.2.2, WatchOS 2.2.2 e El Capitan 10.11.6.