A distanza di poche ore dal rilascio di iOS4, Apple ha pubblicato l’articolo HT4225 sul proprio sito di assistenza per segnalare tutti quelli che sono gli interventi che il nuovo sistema operativo mobile di Cupertino ha apportato in tema di sicurezza. E trattasi di un documento corposo, descrivente una situazione complessa con aggiornamenti relativi ad almeno 60 vulnerabilità.
Tre vulnerabilità per Safari, ben cinquanta per Webkit, quindi i vari Application Sandbox, CFNetwork, ImageIO, LibSystem, libxml e Passcode Lock. La vulnerabilità in quest’ultima componente permette con somma ingenuità di entrare in possesso della password di sblocco di un device bloccato da remoto con MobileMe. Occorre notare come tali aggiornamenti siano integrati in iOS4 e siano pertanto installabili soltanto sui device in grado di supportare il nuovo sistema operativo. Tale caratteristica evidenzia pertanto la presenza di circa 60 bug che gli utenti non hanno la possibilità di correggere sui vecchi device quali gli iPhone o gli iPod Touch di prima generazione.
Oltre la metà delle vulnerabilità segnalate permettono l’esecuzione di codice arbitrario sul sistema e vanno pertanto identificate come «critiche». Una di queste è peraltro quella utilizzata da Vincenzo Iozzo e Ralf-Philipp Weinmann in occasione del contest Pwn2Own, quando in 5 minuti riuscirono a violare un iPhone 3GS.
Alla luce di queste indicazioni, l’aggiornamento a iOS4, oltre a portare alcune migliorìe tecniche al sistema operativo ed alcune funzionalità aggiuntive, si fa importante anche per quanto posto in essere a livello di sicurezza. Per gli utenti con iPhone 3GS si tratta a questo punto di compiere una sorta di update forzato, mettendo in conto qualche sensibile rallentamento nelle performance per garantire allo smartphone rinnovata sicurezza.