Da pochi giorni Apple ha rilasciato tutte le nuove versioni dei propri sistemi operativi, portando finalmente al debutto assoluto anche iPadOS 16 e macOS 13 Ventura. In seguito al rilascio, emergono degli aspetti importanti legati alla sicurezza dei nuovi sistemi operativi, alcuni positivi e altri negativi.

Tramite un corposo documento sul portale del proprio supporto ufficiale, Apple ha divulgato tutte le problematiche legate alla sicurezza che ha risolto con iOS 16 e iPadOS 16: tra queste rientra anche la risoluzione del bug SiriSpy. Intanto, macOS 13 Ventura sembra non andare per niente d’accordo con gli strumenti di sicurezza di terze parti, come anti-malware e altri strumenti di monitoraggio, a causa di un bug.

Apple ha risolto tanti problemi di sicurezza

Nella serata di lunedì, Apple ha rilasciato i nuovi iOS 16.1 e iPadOS 16.1 (quest’ultimo, come anticipato, al debutto assoluto), aggiornamenti che hanno portato su tutti i dispositivi compatibili tante nuove funzionalità e che, inoltre, hanno risolto anche numerosi problemi di sicurezza.

Nello specifico, con le patch di sicurezza che hanno accompagnato i due aggiornamenti, Apple avrebbe risolto una trentina di diverse problematiche su questo tema, illustrate all’interno del lungo documento citato in apertura:

  • Apple Neural Engine
  • AppleMobileFileIntegrity
  • Audio
  • AVEVideoEncorder
  • Backup
  • CFNetwork
  • Core Bluetooth
  • FaceTime
  • GPU Drivers
  • Graphics Driver
  • IOHIDFamily
  • IOKit
  • Kernel (risolte sette problematiche al riguardo)
  • Model I/O
  • ppp (risolte quattro problematiche al riguardo)
  • Safari
  • Sandbox
  • Shortcuts
  • WebKit (risolte quattro problematiche al riguardo)
  • WebKit PDF
  • Wi-Fi
  • zlib

Come è possibile notare nella lista, ben sette di queste problematiche riguardano il kernel di iOS e iPadOS, quella parte che controlla il modo in cui la CPU sul dispositivo (iPhone o iPad che sia) utilizza le sue capacità, gestisce la memoria di sistema, la rete e il file system; in poche parole, si occupa di gestire tutte le richieste che l’utente fa al proprio smartphone o tablet e quindi, qualora venisse compromesso, un’app o un utente da remoto potrebbero essere in grado di eseguire qualsiasi porzione di codice sui dispositivi colpiti con privilegi di kernel.

Le vulnerabilità di questo genere dovevano, dunque, essere corrette. Tra le sette vulnerabilità legate al kernel, Apple dice di essere “a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato”.

Un altro problema serio è quello che è stato riscontrato con il motore del browser WebKit, quello che si occupa di guidare il browser predefinito dei dispositivi Apple, ovvero Safari. Una vulnerabilità ha consentito a coloro che visitano siti Web dannosi di essere eventualmente ingannati dallo spoofing (ovvero la manipolazione) dell’interfaccia che potrebbe indurre un utente ad utilizzare una connessione di rete falsa che, all’apparenza, sembra autentica.

Apple ha corretto anche una grave falla legata a Siri

Oltre a quanto già detto, con i recenti aggiornamenti di iOS/iPadOS e macOS, Apple ha corretto una grave falla che avrebbe potuto consentire alle app con accesso al Bluetooth di registrare le conversazioni di un utente con Siri: più nel dettaglio, un’app avrebbe potuto registrare l’audio delle conversazioni di un utente con Siri e l’audio della dettatura vocale (quello della tastiera di iOS) quando l’utente utilizzava le cuffie del panorama Apple come le AirPods o le Beats.

La cosa più sconvolgente è che quest’app potesse appropriarsi di questo audio senza la necessità di accedere al microfono e senza mostrare che stesse effettivamente utilizzando il microfono (i sistemi operativi di Apple avvisano l’utente tramite una “spia” arancione, quando un’app accede al microfono).

A scoprire il bug (ribattezzato SiriSpy) è stato lo sviluppatore Guilherme Rambo che lo ha segnalato ad Apple lo scorso 26 agosto; il colosso di Cupertino ha provveduto a risolvere la vulnerabilità (tracciata con il codice CVE-2022-32946 e presente nella sezione Core Bluetooth del documento sopracitato) con i recenti aggiornamenti.

Adesso è consigliabile aggiornare ad iOS 16.1 e iPadOS 16.1

Dal momento che con questi due aggiornamenti vengono risolte importanti problematiche legate alla sicurezza dei dispositivi, probabilmente è giunto il momento di aggiornare ad iOS 16.1 o iPadOS 16.1 tutti gli iPhone compatibili (da iPhone 8 in avanti) e tutti gli iPad compatibili (ovvero tutti gli iPad Pro, gli iPad di quinta generazione, iPad Air 3, iPad mini 5 e tutti i modelli successivi). Sempre in tema sicurezza, nella serata di giovedì Apple ha aggiornato anche i “vecchi” dispositivi, rilasciando iOS 15.7.1 e iPadOS 15.7.1, aggiornamento, anche in questo caso fortemente consigliato.

Un bug di macOS 13 fa a botte con gli strumenti di sicurezza di terze parti

Il rilascio di macOS 13 Ventura ha indubbiamente portato agli utenti in possesso di un computer Mac supportato tante nuove funzionalità (a tal proposito, vi rimandiamo ad un nostro approfondimento dedicato). Ad alcuni giorni di distanza dall’arrivo, tuttavia, sembra che il nuovo sistema operativo stia creando non pochi problemi agli utenti che si affidano a programmi di sicurezza di terze parti, come anti-malware o altri strumenti di monitoraggio.

Tutto ha origine dal processo di correzione di una vulnerabilità messo in atto in occasione del rilascio della beta 11 di macOS 13 Ventura, distribuita a sviluppatori e beta tester pubblici da Apple lo scorso 11 ottobre: il colosso di Cupertino ha allora introdotto un difetto che impedisce ai prodotti di sicurezza di terze parti di accedere a ciò di cui hanno bisogno per effettuare le loro scansioni. Questo bug è stato poi mantenuto anche nella versione distribuita al grande pubblico.

Sebbene vi sia una soluzione alternativa per concedere questa autorizzazione, coloro che si affidano a strumenti di sicurezza di terze parti e aggiornano alla più recente versione di macOS potrebbero non rendersi conto di questa problematica e/o non avere le informazioni necessarie per potere ovviare al problema.

Apple ha dichiarato alla testata WIRED che procederà con la risoluzione del bug con il prossimo aggiornamento del sistema operativo ma non ha aggiunto informazioni circa le tempistiche di rilascio. Questa problematica ha comunque creato parecchia confusione anche tra gli stessi sviluppatori di software di sicurezza di terze parti, alcuni dei quali (come gli sviluppatori di Malwarebytes) erano convinti di avere rilasciato aggiornamenti difettosi delle loro app compatibili con macOS Ventura.

La soluzione alternativa per ovviare al problema

Come anticipato in precedenza, esiste una soluzione alternativa per risolvere il problema fino a quando Apple non rilascerà un aggiornamento dedicato: si tratta di un procedimento tutto sommato semplice.

Basterà seguire il percorso alle “Impostazioni di sistema > Sicurezza e Privacy > Privacy > Accesso completo al disc ”. A questo punto, bisognerà effettuare un clic sull’icona del lucchetto presente nell’angolo in basso a sinistra della schermata e autenticarsi con la password di sistema per consentire le modifiche. Quindi, bisognerà deselezionare la casella accanto agli eventuali servizi di sicurezza che non funzionano correttamente: in questo modo, l’utente farà sapere al sistema che desidera disabilitare la loro autorizzazione.

Fatto ciò, basterà effettuare nuovamente un clic sul lucchetto presente nell’angolo in basso a sinistra della schermata per salvare le modifica e, quindi, ripetere il ​​processo, stavolta ri-selezionando le caselle pertinenti per abilitare nuovamente l’autorizzazione senza che il bug si manifesti oltre.

Potrebbero interessarti anche: Si riparte: ecco le beta 1 di iOS 16.2, iPadOS 16.2, watchOS 9.2, tvOS 16.2 e macOS 13.1 e Apple aggiorna Keynote, Numbers e Pages per i nuovi iOS/iPadOS 16 e macOS 13

I nostri contenuti da non perdere: