Un difetto nelle versioni precedenti di iOS, OS X, TVOS e WatchOS potrebbe fornire agli hacker la possibilità di rubare le password salvate in remoto dai dispositivi Apple, senza che voi ve ne accorgiate.

Ricordate la temuta vulnerabilità Stagefright scoperta in Android un anno fa? Aveva permesso agli hacker di accedere a milioni di dispositivi, usando niente di più che un semplice messaggio MMS dannoso. 

Ora i fan di Apple, e milioni di altri utenti, hanno un problema molto simile.

Tyler Bohan, ricercatore senior della sicurezza di Cisco Talos, ha scoperto una grave vulnerabilità in ImageIO, un framework integrato nelle piattaforme di Apple che gestisce i dati delle immagini. Gli hacker sono in grado di trarre vantaggio da questa vulnerabilità per rubare le password memorizzate in locale sui dispositivi.

Apple: sicurezza dei dati a rischio. Proteggete i vostri device! apple iphone cracked security mac ios malware flaw 780x520 1Apple: sicurezza dei dati a rischio. Proteggete i vostri device!

Questo include le chiavi Wi-Fi, le password per i siti web visitati in Safari e le password di posta elettronica.

Un utente malintenzionato potrebbe creare un piccolo programma che sfrutta la vulnerabilità e inviarlo, tramite un messaggio multimediale (MMS), all’interno di un Tagged Image File Format (TIFF).

spiega Forbes.

L’utente non avrebbe alcuna possibilità di rilevare l’attacco che, a quel punto e a sua insaputa, inizierebbe a scrivere il codice superando le barriere di sicurezza dello strumento di scrittura di Apple.

A parte effettuare subito l’aggiornamento del dispositivo, non c’è modo di evitare questo problema. Una volta che il messaggio MMS è stato ricevuto, è già troppo tardi; l’attacco verrà eseguito e non si può fare nulla per impedirlo. L’attacco potrebbe essere ancora più grave su OS X.

A differenza di iOS, che ha sandboxing che impedisce gli MMS dannosi di eseguire codici senza l’accesso root tramite un jailbreak, OS X è più aperto e consente agli aggressori di prendere il pieno controllo della macchina.

Bohan descrive la falla come un bug estremamente critico, paragonabile al Stagefright di Android per quanto riguarda la possibile diffusione. Egli consiglia a tutti gli utenti di aggiornare i propri dispositivi alle ultime versioni di iOS, OS X, TVOS e watchOS ora, in modo da assicurarsi che non siano a rischio.