Apple Security: iOS 14.4 riguarda solo la sicurezza
L'aggiornamento a iOS 14.4 e iPadOS 14.4 è un mero aggiornamento di sicurezza. Una rarità da Apple che sicuramente merita uno sguardo più da vicino.
Succede di rado: Apple ha rilasciato un aggiornamento per iPhone e iPad che è interamente incentrato sulla sicurezza. In iOS 14.4 e iPadOS 14.4, Apple si assicura di chiudere alcuni vettori di attacco nel software.
Oltre alle Release Notes, Apple non ha rilasciato alcuna informazione. Secondo il servizio di settore TechCrunch, il team di sicurezza di Google, Project Zero, è convinto che almeno una falla di sicurezza potrebbe essere «attivamente sfruttata dagli hacker». Non si sa se questi possibili attacchi colpirebbero tutti gli utenti iPhone o iPad, solo un gruppo specifico o una versione del software, ma Apple ritiene le correzioni abbastanza importanti per dedicare loro un aggiornamento separato.
Update manuale su iPad o iPhone: ecco come funziona
Apple ha una politica di aggiornamento come nessun'altra azienda. Gli aggiornamenti vengono distribuiti a livello globale, quindi quando vengono rilasciati negli Stati Uniti, sono anche disponibili per il download in Svizzera, Francia e nella Repubblica Democratica del Sud Sudan, così come in tutti gli altri paesi del mondo. Anche se l'aggiornamento di solito si installa da solo durante la notte, a meno che tu non abbia disattivato questa opzione, vale la pena aggiornare manualmente il tuo dispositivo quando si tratta di un aggiornamento di sicurezza. Nella guida, il termine «iPhone» è usato per indicare «iPhone o iPad» o «dispositivo intelligente portatile prodotto da Apple con iOS o iPadOS».
- Vai alle impostazioni del tuo iPhone
- Seleziona «Generali»
- «Aggiornamento software»
- Il tuo iPhone controlla se è disponibile un aggiornamento e lo scarica
- Aspetta
- Installa l’aggiornamento
- Il tuo iPhone si riavvia
- Voilà
CVE: la minaccia in dettaglio
L’aspetto interessante delle note di rilascio per l'aggiornamento è che Apple non dice solo «abbiamo aggiornamenti di sicurezza», il che sarebbe lecito e consentito, bensì svela anche i cosiddetti numeri CVE. CVE sta per «Common Vulnerabilities and Exposures», che sono vulnerabilità generali e punti deboli che possono essere sfruttati. Un numero CVE indica un anno e poi un numero sequenziale di quattro o cinque cifre. In questo caso, 4288. La falla scoperta nel 2015 si chiama CVE-2015-4288. Ad alcune vulnerabilità particolarmente gravi è stato dato il proprio soprannome, tra cui CVE-2014-6271, meglio conosciuto come «Shellshock». Falle di sicurezza, con o senza numero CVE, in gergo tecnico si chiamano «Vulnerabilities».
Il database dei numeri CVE è amministrato dalla società no-profit Mitre. Altri database come il VulDB elencano le stesse vulnerabilità, ma offrono una visuale panoramica più chiara per certi aspetti. Ulteriori dettagli vengono spesso pubblicati sulle pagine di chi le ha scoperte, dopo una consultazione con il produttore del software vulnerabile. Con la cosiddetta «Responsible Disclosure», chi ha trovato la vulnerabilità dà al produttore il tempo di riparare le falle nel programma prima che diventi di dominio pubblico. Questo è il modo in cui i ricercatori di sicurezza e gli «white hat hacker» – hacker curiosi ma non criminali – minimizzano il danno che la loro scoperta potrebbe arrecare. A volte guadagnano anche una taglia, chiamata «Bug Bounty», che viene messa sulle vulnerabilità.
Ogni numero CVE ha un indice di gravità da 1 e 10, chiamato CVSS Score, che segue il sistema di valutazione delle vulnerabilità comuni (Common Vulnerability Scoring System). Questo numero è composto dai seguenti valori individuali:
- Vettore di attacco: dove deve essere l'aggressore? Può eseguire l'attacco via Internet o deve tenere fisicamente in mano il dispositivo?
- Complessità: quanto è complicato eseguire l'attacco?
- Privilegi: all’aggressore serve accesso a qualcosa? Diritti di amministratore? O può semplicemente fare l'attacco?
- User Interaction: la vittima deve interagire con il software o l'hardware perché l’attacco possa essere eseguito?
- Riservatezza: quanto sono riservati i dati a cui l’aggressore avrebbe accesso nel caso in cui l’attacco riuscisse?
- Integrità: quanto sarebbero ancora affidabili i dati dopo l'attacco?
- Disponibilità: il software o hardware può continuare ad essere usato normalmente durante o dopo l'attacco?
Apple elenca 53 numeri CVE nelle note di rilascio. Apple ha affrontato e risolto queste vulnerabilità. In altre parole: quando le note di rilascio parlano di «A remote attacker may be able to cause a denial of service» (CVE-2021-1764, scoperto da @m00nbsd) – (un aggressore esterno alla rete potrebbe essere in grado di eseguire un attacco denial of service) – significa che è risolto con l'aggiornamento che Apple sta rilasciando.
Questo è quanto. Fai gli aggiornamenti regolarmente e avrai meno problemi.
A 25 persone piace questo articolo
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.