Si ricorderà di certo come, poche settimane fa, alcuni utenti abbiano scovato un bug di sicurezza in iOS 7, tale da permettere a malintenzionati di prendere possesso di un iDevice pur non conoscendone il codice di sblocco. Oggi questa falla si ripropone, lievemente modificata, per quella che per Apple rischia di essere una rincorsa al fix.
Così come nel precedente caso, approfittare del bug è macchinoso, ma nemmeno troppo difficile. L’unico requisito per il malintenzionato di turno è poter accedere un iPhone, o un iPad, lasciato incustodito dal proprietario. In tal caso, basteranno poche mosse per accedere al terminale bypassando completamente le future impostazioni di blocco di iOS 7, in tutte le versioni pari o inferiori alla 7.1.
Il procedimento vede la disabilitazione di Trova Il Mio iPhone dalle funzioni generali del sistema operativo, purché vi sia un account iCloud ovviamente connesso. Per farlo, sarebbe necessario cancellare contemporaneamente l’account sulla nuvola e disattivare le funzioni di tracking remoto, dopodiché – alla richiesta di iOS 7 di inserire la password di conferma, spegnere forzatamente il terminale. Al riavvio del terminale, si potrà disattivare iCloud senza che la password venga richiesta, quindi accedere a tutte le funzioni di iOS 7 per eliminare password di sblocco o qualsiasi altra limitazione. In questo modo, non solo un iDevice potrà essere sottratto indebitamente, ma l’eventuale ladro potrà comodamente sfogliare qualsiasi contenuto memorizzato, dai contatti agli estremi di carta di credito, passando per un nugolo fitto di dati sensibili e informazioni personali.
Apple non ha ufficialmente riconosciuto il bug e non è dato sapere, di conseguenza, quando verrà proposta un’effettiva risoluzione. L’unico modo per proteggersi, allora, è quella di forzare lo stand-by del dispositivo prima di poggiarlo su tavoli o disporlo alla portata di tutti: per poter sfruttare la falla, il malintenzionato dovrà infatti trovarsi già all’interno del sistema operativo, magari approfittando dei tipici due minuti che intercorrono tra l’ultimo utilizzo e lo stand-by automatico. Impostandolo manualmente, la prima schermata visualizzata sarà quella della password, ovviamente non conosciuta da un eventuale aggressore.