È stata scoperta una vulnerabilità di Safari per iOS 12.1, capace di garantire a terzi l’accesso alle foto di iPhone X, anche quelle marcate per la cancellazione. L’exploit è stato dimostrato da Richard Zhu e Amat Cama, nel corso del contest Mobile Pwn2Own di Tokyo: uno sforzo che è valso alla coppia un premio di 50.000 dollari.
Il duo, appartenente al team Fluoroacetate, è riuscito a superare le misure di sicurezza di iOS 12.1, raccogliendo dati sensibili da un iPhone X. Lo smartphone è stato connesso a un access point Wi-Fi malevolo e, tramite un complesso procedimento, gli esperti sono riusciti a ottenere l’accesso ad alcuni dei file salvati sul dispositivo. Fra queste anche alcune foto, molte delle quali marcate per la cancellazione dell’utente e conservate momentaneamente nell’album degli scatti recentemente cancellati.
Così come impongono le regole del contest Pwn2Own, Apple è stata immediatamente informata della vulnerabilità, con tanto di dettagli tecnici, affinché possa provvedere prontamente a una patch, probabilmente in arrivo con un aggiornamento minore di iOS. Al momento non sussistono particolari preoccupazioni per i comuni consumatori, poiché l’exploit dimostrato non solo non è diffuso, ma richiede una procedura abbastanza complessa e certosina per poter essere messo in atto. In ogni caso, è sempre sconsigliato collegarsi a network Wi-Fi non considerati sufficientemente sicuri, soprattutto quando ci si trova in luoghi pubblici.
Il duo Fluoroacetate è noto da tempo in questi contest di hacking, per la bravura nel rilevare problematicità in iOS. Lo scorso anno avevano scovato un bug in iPhone 7 sfruttando una vulnerabilità di Safari, in totale la coppia ha raccolto ben 215.000 dollari in premi. Nel mentre, si attende un commento da Apple sull’ultima problematicità riscontrata, in attesa di un update risolutivo del sistema operativo mobile.