QR code per la pagina originale

iPhone, firmware violato grazie a una falla

Il firmware 1.1.1 per iPhone violato nei giorni scorsi sarebbe dotato di una grave vulnerabilità grazie alla quale lo sblocco del telefono è stato nuovamente reso possibile. Guardare una immagine TIFF con il telefono apre il sistema al controllo remoto

,

Si moltiplicano gli hack per iPhone e le risposte sempre più tempestive di Apple, la quale ha in mente una strategia precisa per fermare la catena di aggiornamenti/buchi a cui il suo telefono cellulare è sottoposto per via dell’accordo in esclusiva con il carrier AT&T. Ma l’ultimo hack ha origini specifiche e pericolose: una vulnerabilità nel firmware Apple.

L’ultimo aggiornamento del firmware iPhone infatti aveva portato con sè una modifica che, se montata su device che erano stati sbloccati illegalmente, rendeva inutilizzabile il telefono. Prontamente in rete è stata messa a punto una contromossa rappresentata da un exploit che consente nuovamente di riportare in vita il telefono, senza tuttavia (come di rito) assunzioni di responsabilità su eventuali malfunzionamenti.

Adesso la tecnica utilizzata per il secondo sblocco è stata etichettata da Secunia, società danese specializzata in sicurezza, come «highly critical» e descritta come un sistema che, attraverso un errore nel modo in cui il telefono gestisce le immagini TIFF, riesce a prendere il controllo del sistema, potendo causare anche attacchi Denial Of Service. Infatti cercando e riuscendo a sbloccare il telefono è stata utilizzata e portata alla luce quella che a tutti gli effetti è una vulnerabilità insita nel nuovo firmware originale.

Sul blog degli autori Toc2rta, l’exploit è presente da tempo e il tema ha avuto anche l’approvazione dell’autorevole Engadget sul fatto che effettivamente con il loro metodo di attacco è possibile prendere il controllo totale del sistema avendo accesso a tutte le directory e tutti i file e non solo a quelli che Apple consente agli utenti di visualizzare. L’hacker responsabile, Niacin, ha descritto l’hack come «un completo exploit tutto compreso in un file TIFF». Gli fa eco Secunia da cui si avverte che basta ricevere l’immagine come allegato in una mail e aprirla (o visualizzarla da un sito web) per subire l’attacco.

Notizie su: ,