In attesa del lancio dei nuovi iPhone 11, Apple pensa a difendere sé stessa e i propri telefoni dalle accuse di Google. A fine agosto i ricercatori di sicurezza di Project Zero, iniziativa della società di Mountain View, avevano denunciato l’esistenza di diverse vulnerabilità all’interno di iOS, a causa delle le quali si stavano verificando una serie di attacchi informatici. Più precisamente si tratta di ben 14 vulnerabilità zero-day, fino a quel momento ignote al creatore del software e agli utenti, ma già sfruttate da anonimi attaccanti per realizzare cinque tipologie di exploit e infettare gli iPhone con dei malware. A un possessore di iPhone o iPad con a bordo iOS 10, 11 o 12 (queste le versioni interessate dai bug, poi risolti a febbraio da un aggiornamento e non presenti su iOS 13) basterebbe navigare su un sito Web compromesso per esporsi al pericolo.
Il pericolo non sarebbe teorico ma effettivo, perché i ricercatori del Threat Analysis Group di Google sostengono di aver scoperto una serie di siti Web (ciascuno con migliaia di visitatori settimanali) hackerati, impiegati per sferrare “attacchi watering hole indiscriminati contro i visitatori” che su quei siti approdavano attraverso un iPhone. A detta di Google, questi attacchi hanno sparato nel mucchio, senza un obiettivo particolare.
Ma Apple è di tutt’altra opinione. Con un comunicato stampa l’azienda ha voluto precisare che non solo le vulnerabilità sono state risolte lo scorso febbraio, ma che inoltre il problema riguardava un ristretto numero di utenti. Apple parla di un singolo attacco sofisticato “strettamente focalizzato”, portato avanti attraverso “meno di una dozzina di siti Web con contenuti relativi alla comunità Uighur”, un gruppo etnico di religione islamica principalmente residente in un paio di regioni del territorio cinese ma anche in altri Stati dell'Asia, in Russia, Australia e Nordamerica. Dunque non si sarebbe trattato di attacchi indiscriminati, ma in ogni caso delle vittime ci sono state e, almeno in teoria, le vulnerabilità presenti in iOS avrebbero potuto essere sfruttate su larga scala infettando siti Web frequentati da utenze più ampie e generiche. Peraltro gli Uighur non sono una piccola comunità: solo quelli residenti in Cina sono più di undici milioni di persone, mentre oltre 220mila vivono in Kazakistan.
Pur non negando che “la sicurezza è un viaggio senza fine” (un modo per ammettere a denti stretti che la perfezione non appartiene nemmeno a iOS), Apple comunque ha minimizzato l’accaduto, spiegando che “le evidenze mostrano che questi attacchi tramite siti Web sono stati attivi per un breve periodo, di circa due mesi, e non di due anni come suggerito da Google. Abbiamo risolto le vulnerabilità in questione a febbraio, lavorando duro per aggiustare il problema in soli dieci giorni dalla nostra scoperta. Quando Google ci ha contattati, stavamo già lavorando per risolvere i bug sfruttati”.
In questo scambio di frecciatine, non è poi mancata una replica alla replica. Tim Willis, un ricercatore di Project Zero, attraverso Twitter ha specificato che da parte di Google non c’era alcuna intenzione di screditare il sistema operativo della concorrenza, Il team di Project Zero, infatti, si è limitato a denunciare l’esistenza di codice malware rivolto ai dispositivi iOS, scoperto in seguito alla ricerca di vulnerabilità zero-day nella piattaforma. La denuncia, ha detto Willis, è stata fatta non per generare il panico ma per evidenziare “gli aspetti tecnici di queste vulnerabilità”.