Lunedì Apple ha rilasciato aggiornamenti sulla sicurezza di emergenza per correggere una vulnerabilità in iOS e iPados, identificati come CVE-2025-24200che è stato attivamente sfruttato in natura. Il difetto presenta un problema di autorizzazione che potrebbe consentire agli aggressori un accesso fisico a disabilitare la modalità limitata USB su dispositivi bloccati come parte di un attacco fisico informatico.
Apple rilascia aggiornamenti di emergenza per correggere la vulnerabilità iOS
Modalità limitata USB, introdotta in iOS 11.4.1, previene I dispositivi iOS e iPados dalla comunicazione con gli accessori quando non sono stati sbloccati e collegati nell’ora precedente. Questa funzione mira a proteggere i dispositivi dall’accesso non autorizzato da strumenti forensi digitali spesso utilizzati dalle forze dell’ordine, come Cellebrite e Graykey.
Apple ha confermato di essere a conoscenza dei rapporti che affermano che questa vulnerabilità potrebbe essere stata sfruttata in attacchi altamente sofisticati contro individui mirati specifici. Il difetto è stato affrontato con una migliore gestione dello stato secondo la consulenza di Apple, sebbene ulteriori dettagli tecnici rimangono non divulgati.
Bill Marczak, un ricercatore di sicurezza del Citizen Lab dell’Università di Toronto, ha scoperto e ha riferito la vulnerabilità. Il software aggiornato è disponibile per i seguenti dispositivi:
- iOS 18.3.1 e ipados 18.3.1: iPhone XS e successivamente, iPad Pro 13 pollici, iPad Pro 12,9 pollici di terza generazione e successivamente, iPad Pro da 11 pollici di 1a generazione e successivamente, iPad Air 3a generazione e successivamente, iPad 7th Generation e successivamente, e iPad Mini 5th Generation e più tardi.
- iPados 17.7.5: iPad Pro 12.9 pollici di 2a generazione, iPad Pro 10,5 pollici e la 6a generazione di iPad.
Questa versione segue una soluzione recente per un diverso difetto di sicurezza—CVE-2025-24085un bug privo di utilizzo nel componente multimediale principale, identificato preveramente come sfruttato nelle precedenti versioni iOS. Inoltre, le vulnerabilità zero-day nel software Apple sono spesso distribuite da fornitori di sorveglianza per estrarre dati da dispositivi compromessi.
Gli strumenti commercialmente commercializzati, come Pegasus di NSO Group, rivendicano l’utilità per le forze dell’ordine, e anche il controllo delle pratiche invasive. Il gruppo NSO ha sostenuto che Pegasus non è progettato per la sorveglianza di massa ed è autorizzato esclusivamente ad agenzie controllate.
La modalità limitata USB è stata cruciale per ridurre al minimo i rischi associati agli attacchi fisici attraverso le porte del dispositivo. Se un dispositivo è bloccato per oltre un’ora, Apple disabilita le sue porte Lightning o USB per contrastare potenziali violazioni da accessori connessi.
Il National Institute of Standards caratterizza la vulnerabilità appena patcata come un problema di autorizzazione che richiedeva miglioramenti della gestione dello stato. Apple ha sottolineato che un attacco fisico potrebbe potenzialmente disabilitare la modalità limitata USB sui dispositivi bloccati e ha riconosciuto preoccupazioni riguardo al suo sfruttamento negli attacchi mirati.
Marczak ha sottolineato in modo specifico la natura critica di questo aggiornamento, spingendo gli utenti a passare a iOS 18.3.1 per salvaguardare da queste vulnerabilità. Gli utenti possono trovare l’aggiornamento tramite le impostazioni del dispositivo in Aggiornamento del software.
Per i dispositivi non interessati dal difetto e dall’esecuzione di versioni iOS più vecchie, Apple non ha emesso aggiornamenti poiché la società continua a dare la priorità ai sistemi operativi più recenti, rafforzando così l’importanza di aggiornamenti tempestivi nella lotta ai paesaggi delle minacce digitali.
Credito immagine in primo piano: William Hook/Unsplash
