Patch di aggiornamento misteriose per iPhone contro gli attacchi di arresto anomalo della posta di iOS 16

Utilizziamo l'app Mail di Apple tutto il giorno, tutti i giorni per gestire la posta elettronica personale e di lavoro, inclusa un'abbondante offerta di commenti, domande, idee per articoli, segnalazioni di errori di battitura, suggerimenti di podcast molto graditi di Naked Security e molto altro.

(Continuate a riceverli: riceviamo messaggi molto più positivi e utili che riceviamo dai troll, e ci piace continuare così: tips@sophos.com è come raggiungerci.)

Abbiamo sempre trovato l'app Mail un cavallo di battaglia molto utile e adatto a noi: non è particolarmente sofisticato; non è pieno di funzionalità che non usiamo mai; è visivamente semplice; e (finora comunque) è stato ostinatamente affidabile.

Ma deve esserci stato un problema serio nell'ultima versione dell'app, perché Apple semplicemente spinto fuori una patch di sicurezza con un bug per iOS 16, portando il numero di versione a iOS 16.0.3e risolvendo una vulnerabilità specifica di Mail:

Viene elencato uno e un solo bug:

Impatto: l'elaborazione di un messaggio di posta elettronica pericoloso può portare a una negazione del servizio. Descrizione: un problema di convalida dell'input è stato risolto migliorando la convalida dell'input. CVE-2022-22658

Bollettini “one-bug”.

Nella nostra esperienza, i bollettini di sicurezza “one-bug” di Apple, o almeno i bollettini N-bug per piccoli N, sono l’eccezione piuttosto che la regola, e spesso sembrano arrivare quando c’è un pericolo chiaro e presente come uno zero jailbreakable. -day exploit o sequenza di exploit.

Forse il recente aggiornamento di emergenza di questo tipo più noto è stato a doppia correzione zero-day nell'agosto 2022 che ha risolto un attacco a due colpi consistente in un buco nell'esecuzione di codice remoto in WebKit (un modo per entrare) seguito da un buco nell'esecuzione di codice locale nel kernel stesso (un modo per assumere completamente il controllo):

Quei bug erano ufficialmente elencati non solo come noti agli estranei, ma anche come soggetti ad abusi attivi, presumibilmente per aver impiantato una sorta di malware in grado di tenere sotto controllo tutto ciò che facevi, come curiosare su tutti i tuoi dati, acquisire screenshot segreti, ascoltare alle telefonate e allo scatto di immagini con la fotocamera.

Circa due settimane dopo, Apple ha persino rilasciato un file aggiornamento inaspettato per iOS 12, una vecchia versione che molti di noi presumevano fosse effettivamente "abandonware", essendo stata vistosamente assente dagli aggiornamenti di sicurezza ufficiali di Apple per quasi un anno prima:

(Apparentemente, iOS 12 è stato colpito dal bug WebKit, ma non dal successivo buco nel kernel che ha reso la catena di attacco molto peggiore sui prodotti Apple più recenti.)

Questa volta, tuttavia, non viene menzionato il bug corretto nell'aggiornamento a iOS 16.0.3 è stato segnalato da qualcuno al di fuori di Apple, altrimenti ci aspetteremmo di vedere il ritrovatore menzionato nel bollettino, anche se solo come “un ricercatore anonimo”.

Inoltre, non vi è alcun suggerimento che il bug possa essere già noto agli aggressori e quindi già utilizzato per scopi dannosi o peggio...

…ma Apple sembra comunque ritenere che si tratti di una vulnerabilità su cui vale la pena pubblicare un bollettino di sicurezza.

Hai posta, hai posta, hai posta...

Cosiddetto negazione del servizio (DoS) o schiantami a volontà i bug sono spesso considerati come i pesi leggeri della scena delle vulnerabilità, perché generalmente non forniscono agli aggressori un percorso per recuperare dati che non dovrebbero vedere, o per acquisire privilegi di accesso che non dovrebbero avere, o per eseguire codice dannoso di loro scelta.

Ma qualsiasi bug DoS può rapidamente trasformarsi in un problema serio, soprattutto se continua a ripetersi una volta attivato per la prima volta.

Questa situazione può facilmente verificarsi nelle app di messaggistica se il semplice accesso a un messaggio esplosivo provoca l'arresto anomalo dell'app, perché in genere è necessario utilizzare l'app per eliminare il messaggio problematico...

…e se l'arresto anomalo avviene abbastanza rapidamente, non avrai mai abbastanza tempo per fare clic sull'icona del cestino o per eliminare con il dito il messaggio incriminato prima che l'app si blocchi ancora, e ancora, e ancora.

Nel corso degli anni sono apparse numerose storie su scenari di "testo di morte" di questo tipo per iPhone, tra cui:

Naturalmente, l'altro problema è quello che scherzosamente chiamiamo CRASH: GOTO CRASH bug nelle app di messaggistica è che altre persone possono scegliere quando inviarti un messaggio e cosa inserire nel messaggio...

…e anche se utilizzi una sorta di regola di filtro automatizzata nell’app per bloccare i messaggi provenienti da mittenti sconosciuti o non attendibili, l’app dovrà in genere elaborare i tuoi messaggi per decidere quali eliminare.

(Nota che questa segnalazione di bug si riferisce esplicitamente a un arresto anomalo dovuto a "elaborazione di un messaggio di posta elettronica dannoso".)

Pertanto l'app potrebbe bloccarsi comunque e continuare a bloccarsi ogni volta che si riavvia mentre tenta di gestire i messaggi che non è riuscita a gestire l'ultima volta.

Cosa fare?

Se hai attivato o meno gli aggiornamenti automatici, vai a Impostazioni profilo > Generale > Aggiornamento software per verificare (e, se necessario, installare) la correzione.

La versione che vuoi vedere dopo l'aggiornamento è iOS 16.0.3 o dopo.

Dato che Apple ha rilasciato una patch di sicurezza solo per questo bug DoS, immaginiamo che potrebbe essere in gioco qualcosa di dannoso se un utente malintenzionato dovesse scoprirlo.

Ad esempio, potresti ritrovarti con un dispositivo appena utilizzabile che dovresti pulire completamente e ripetere il flash per ripristinarne il corretto funzionamento...

---

SCOPRI DI PIÙ SULLE VULNERABILITÀ

---