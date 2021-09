CUPERTINO - Apple nel 2019 aveva reso accessibile il sistema "bug bounty" che permette a tutti di segnalare delle falle nella sicurezza del suo sistema operativo (e di ricevere una ricompensa). Ora un ricercatore, che si fa chiamare "illusionofchaos", ha comunicato all'azienda di Cupertino di aver trovato tre problemi.

Quest'ultimo tuttavia, stando al sito 9to5mac.com, non sarebbe stato contattato da Apple. Anzi, avrebbe ignorato le tre vulnerabilità segnalate a marzo, tuttora presenti nella versione iOS 15. Solo una quarta falla sarebbe stata nel frattempo corretta, ma non segnalata negli aggiornamenti di sicurezza di Apple (in cui viene anche indicato il nome della persona che ha segnalato il bug).

Dopo aver sollecitato nuovamente l'azienda, Apple si è scusata per il disguido, assicurando che avrebbero risolto al prossimo aggiornamento. Ma nei tre aggiornamenti successivi il contenuto relativo alla sicurezza non è stato aggiornato. Non pago, il ricercatore anonimo ha avvisato l'azienda che avrebbe reso pubblici i bug se non avesse ricevuto una spiegazione esaustiva. «La mia richiesta è stata ignorata, quindi sto facendo quello che ho detto che avrei fatto» si legge sul sito, che ha pubblicato le falle del sistema non ancora corrette.

E le vulnerabilità scoperte da "illusionofchaos" sono piuttosto gravi: ad esempio attraverso il Game Center sarebbe possibile per qualsiasi app ottenere svariati dati dell'utente, dall'ID Apple, al token dell'autenticazione dell'ID Apple, dall'accesso completo in lettura al file system per il Core Duet Database (che contiene un elenco di contatti da eMail, SMS, iMessage, app di messaggistica di terze parti e metadati su tutte le interazioni dell'utente con questi contatti, anche alcuni allegati (come gli URL e testi).