Logo Tom's Hardware

Grave falla in iOS 9 venduta per un milione di dollari

La società Zerodium ha premiato con un milione di dollari un gruppo di hacker anonimo che ha trovato una falla in iOS che permette l'esecuzione di codice remoto da browser. La società che ora possiede il bug lo venderà al miglior offerente.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Una grave falla nel sistema operativo di iPhone e iPad è stata venduta per un milione di dollari. O, più precisamente, la francese Zerodium ha riconosciuto un premio di tale valore a un team anonimo che ha trovato una zero-day in iOS 9. In particolare, come ha spiegato Chaouki Bekrar di Zerodium, l'attacco sfrutta una combinazione di bug in Google Chrome e iOS 

zerodium iphone bug

Si tratta di una falla che permette di eseguire codice remoto via browser, e che apre le porte a minacce di ogni genere - tra le quali la meno grave è probabilmente l'esecuzione remota del jailbreak untethered, come ha comunicato la stessa Zerodium.

Sembrerebbe a prima vista una cosa divertente, qualcosa del tipo "hey guarda, fanno il jailbreak da browser". Ma si tratta in verità di una minaccia piuttosto seria, perché parliamo di eseguire codice remoto via browser. Ci si può fare praticamente di tutto, non solo un innocente jailbreak.

La notizia sarebbe già preoccupante di per sé, ma c'è un aggravante: Zerodium, e la sua controllante Vupen, si dedicano al commercio di falle zero-day. Ciò significa che venderanno questa scoperta al miglior offerente, che potrebbe anche essere Apple ma non è detto.

CS08ePQWsAAh1xh

In altre parole, una gravissima falla in iOS finirà nelle mani di qualcuno che vorrà sfruttarla a proprio vantaggio, che potrebbe essere un'agenzia governativa, un governo oppressivo o un criminale (Vupen ufficialmente controlla i propri clienti, ma la certezza assoluta non esiste mai). Un'operazione che per Zerodium sarà sicuramente vantaggiosa, perché ci guadagneranno ben più del milione di dollari che hanno riconosciuto come premio.

Per gli utenti Apple invece non è una buona notizia, così come per l'azienda stessa. Apple potrebbe senz'altro comprare la vulnerabilità da Zerodium e lavorare a una correzione, ma così facendo si stabilirebbe un precedente pericoloso che metterebbe tutte le aziende hi-tech in un posizione di sudditanza rispetto a società come Vupen.

Più probabilmente i tecnici di Apple raddoppieranno gli sforzi per trovare a loro volta questa falla e correggerla nel più breve tempo possibile. Ai tempi di "slide to jailbreak", una falla simile in iOS 7.1, Apple ci mise parecchio a risolvere. Vedremo quanto ci vorrà ora. 

Aggiornamento: l'articolo è stato modificato per specificare che l'attacco sfrutta vulnerabilità in Google Chrome per iOS. (Grazie a Glauco S. per il suggerimento!). 

Leggi altri articoli