Vai al contenuto

Aggiornamenti Apple per tutti i dispositivi: non solo funzioni nuove, ma anche molti rattoppi. Anche per Android

Apple ha rilasciato una raffica di aggiornamenti per molti suoi dispositivi, dai computer ai tablet agli smartphone agli orologi, e li ha annunciati puntando sulle nuove funzioni, ma in realtà includono anche molte correzioni di sicurezza e quindi vanno installati appena possibile.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza

Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza

Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple
Watch), aggiornatelo subito. Apple ha rilasciato il 13 settembre degli aggiornamenti
d’emergenza per bloccare due vulnerabilità, una delle quali consente di mettere a segno un
attacco invisibile sui suoi dispositivi senza richiedere alcuna azione da parte della vittima.

L’attacco consente di attivare telecamere e microfono, registrare messaggi,
SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal). 

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di
tvOS e la versione 7.6.2 di watchOS risolvono il problema. 

Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata
scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware,
denominato Pegasus, che è stato sviluppato dalla società israeliana NSO
Group ed è già stato usato per penetrare negli iPhone di vari attivisti
politici in modo completamente invisibile.

L’attacco, spiega
Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene
un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo
PDF malformato causa un crash di IMTranscoderAgent sul dispositivo
(dovuto a un integer overflow nella libreria CoreGraphics di rendering
delle immagini), e il crash consente l’esecuzione di codice malevolo sul
dispositivo attaccato. 

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.

Anche se non siete dissidenti o attivisti, il fatto che esistano queste
vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno
sfruttate anche dalla criminalità informatica comune per attacchi su bersagli
meno sensibili. In altre parole, per colpire anche utenti comuni.

Preparatevi a una certa attesa, perché tutti stanno scaricando gli
aggiornamenti ed è prevedibile che i server di Apple siano leggermente
sovraccarichi.

 

Fonti aggiuntive:
TechCrunch, Sophos,
Ars Technica,
New York Times

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disabilitare il Wi-Fi di un iPhone usando semplicemente il nome di una rete Wi-Fi

Per mandare in crisi un iPhone o un iPad è sufficiente collegarlo a una rete
Wi-Fi con un nome particolare. Lo ha segnalato Carl Schou su Twitter pochi
giorni fa.

Se il nome (SSID) della rete Wi-Fi al quale si collega è %p%s%s%s%s%n,
il dispositivo Apple perde completamente la capacità di collegarsi a qualunque
rete Wi-Fi, e riavviarlo non risolve il problema. Il difetto è presente in tutte le versioni recenti di iOS/iPadOS, compresa la 14.6.

L’unico modo per riattivare il Wi-Fi sull’iPad o iPhone è andare in
Impostazioni – Generali – Ripristina – Ripristina impostazioni rete.
Bisognerà poi reimmettere tutti i parametri della propria connessione Wi-Fi.

Perché mai qualcuno dovrebbe usare un nome così bizzarro per una rete Wi-Fi?
Per esempio per fare burle pesanti o vandalismi. Un malintenzionato potrebbe
dare questo nome alla propria rete Wi-Fi in modo da paralizzare gli iPhone o
iPad altrui che tentano di collegarsi a scrocco. Questa falla non colpisce i
dispositivi Android o Windows, per cui qualcuno che ce l’ha con Apple potrebbe sfruttarla per danneggiare soltanto i dispositivi di questa marca. 

Sì, gente così
esiste. Già circolano gli scherzi, tipo questo, che consiglia crudelmente agli utenti iPhone di usare quel nome per il proprio Wi-Fi per rendere più veloce la connessione:

Apple non ha rilasciato dichiarazioni in proposito e non si sa se il difetto verrà corretto. 

Il motivo per cui questo nome di Wi-Fi ha quest’effetto è che questi caratteri con il simbolo di percentuale vengono usati come istruzioni di formattazione in alcuni linguaggi di programmazione, ed iOS e iPadOS accettano questi caratteri come nome di Wi-Fi senza controllarli, scartarli o convertirli: è una uncontrolled format string, una vulnerabilità classica che non dovrebbe esserci in un sistema operativo moderno.

Il consiglio, ovviamente, è non collegarsi mai ai Wi-Fi di sconosciuti, specialmente se hanno nomi che contengono
caratteri bizzarri. E di non credere ciecamente a tutti i “consigli per velocizzare” che si trovano su Internet.

Fonti aggiuntive: Ars Technica, Engadget, BleepingComputer, AppleInsider.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate il vostro iPhone. Subito

Aggiornate il vostro iPhone. Subito

Credit:
HWupgrade.it.

È disponibile da pochi giorni iOS 14.4, accompagnato dalla versione per iPad,
ossia iPadOS 14.4. 

Va installato subito, se il vostro iCoso lo
consente, perché oltre alle consuete novità e migliorie (descritte qui da Apple
e
qui da HWupgrade.it), contiene aggiornamenti di sicurezza molto importanti (descritti da Apple qui) che risolvono varie falle (CVE-2021-1782, CVE-2021-1871 e CVE-2021-1870).

Una di queste falle, la 1870, è sfruttabile semplicemente convincendo la
vittima a visitare un sito Web dal proprio iPhone o iPad non aggiornato usando
Safari e permetterebbe di prendere il controllo parziale o totale del
dispositivo.

Il rischio non è teorico, come avviene solitamente con questi aggiornamenti: in questo caso la falla viene già
sfruttata dai malintenzionati, secondo gli
avvisi
degli esperti.

Come consueto, l’aggiornamento si esegue andando in
Impostazioni – Generali – Aggiornamento Software. Fatelo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Si poteva rubare un account Instagram mandando semplicemente un’immagine

Si poteva rubare un account Instagram mandando semplicemente un’immagine

Se usate Instagram, aggiornate la vostra app, altrimenti può bastare una semplice immagine per rubarvi l’account.

Lo segnalano i ricercatori di sicurezza informatica di Check Point Research, che hanno scoperto una falla in un componente open source usato da Instagram (Mozjpeg) per visualizzare le immagini JPEG. La falla consentiva a un aggressore di prendere il controllo dell’account di una vittima semplicemente mandandole un’immagine appositamente confezionata, usando mail, WhatsApp o altri sistemi di messaggistica. 

Quando la vittima avviava Instagram sul proprio smartphone, l’immagine veniva caricata automaticamente, causando un integer overflow che portava a un heap buffer overflow che a sua volta consentiva di eseguire istruzioni sullo smartphone: leggere i messaggi privati, cancellare o pubblicare post, e persino trasformare lo smartphone in uno strumento di sorveglianza accedendo ai dati GPS e alla fotocamera.

Check Point ha aspettato sei mesi prima di pubblicare la propria scoperta: nel frattempo ha informato Facebook, proprietaria di Instagram, che ha corretto la falla. Facebook dichiara che il problema riguarda le versioni di Instagram vecchie: dalla 128.0.0.26.128 in poi non c’è più.

Per sapere quale versione di Instagram avete installato:

  • Su Android, andate in Impostazioni – Applicazioni, toccate Instagram e scorrete verso il basso: vedrete l’indicazione della versione.
  • Su iOS/iPadOS, andate in Impostazioni – Generali – Spazio, toccate Instagram e comparirà l’indicazione della versione.

 

Fonti aggiuntive: Forbes, Apple Insider, Android Central.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple: arrivano iOS, iPadOS 14 e macOS Big Sur, chi potrà usarli e chi no

Apple: arrivano iOS, iPadOS 14 e macOS Big Sur, chi potrà usarli e chi no

Apple distribuirà a partire da luglio in versione beta (subito se usate questo metodo) le nuove edizioni dei suoi principali sistemi operativi, presentati pochi giorni fa alla WWDC (quest’anno preregistrata e senza pubblico per via della pandemia). Le versioni definitive saranno disponibili in autunno.

Come ogni volta, si pone il problema di capire quali dispositivi Apple potranno adottarli, con tutte le loro novità, e quali resteranno esclusi e quindi diventeranno obsoleti. Ecco un riassuntino per orientarvi nei vostri eventuali acquisti.

IPhone: se avete potuto aggiornare il vostro iPhone ad iOS 13, potrete aggiornarlo anche ad iOS 14. Sono inclusi anche l’iPhone 6S e l’iPhone SE di prima generazione.

iPad: come sopra. Se ci gira iOS 13, ci girerà iOS 14.

Mac: le cose si fanno complicate. Saranno compatibili con Big Sur i MacBook dal 2015 in poi, i MacBook Air dal 2013 in poi, i MacBook Pro da fine 2013 in poi, i Mac mini dal 2014 in poi, gli iMac dal 2014 in poi, gli iMac Pro dal 2017 in poi e i Mac Pro dal 2013 in poi. Facile, no? Un elenco completo è su LifeHacker.



Fonte aggiuntiva: Wired.com.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Arriva iPadOS 13.4, con supporto per mouse e correzioni varie; novità anche per gli altri OS Apple

Arriva iPadOS 13.4, con supporto per mouse e correzioni varie; novità anche per gli altri OS Apple

Mezzo pianeta è fermo, ma gli aggiornamenti software vanno avanti lo stesso. Apple ha rilasciato aggiornamenti per tutti i suoi sistemi operativi per tablet, orologi, media player, telefoni e computer.

Si passa così alla versione 13.4 per iOS, iPadOS e tvOS, mentre gli Apple Watch si aggiornano alla versione 6.2 e i Mac arrivano alla versione 10.15.4 di macOS.

Tutti questi aggiornamenti introducono migliorie e correzioni, ma forse quelle più significativo per molti utenti riguardano iPadOS e iOS, che ora offrono il supporto completo per trackpad e puntatori (sia Bluetooth, sia cablato, con qualche difficoltà). I tablet Android offrivano questa possibilità da molto tempo e finalmente Apple l’ha aggiunta anche ai propri dispositivi.

Per usare un mouse Bluetooth su un iPad è sufficiente andare nelle Impostazioni, attivare il Bluetooth e abbinare il mouse. Gizmodo ha una guida dettagliata a tutti i comandi resi possibili dall’uso di mouse o trackpad.

iOS e iPadOS correggono inoltre ben 30 falle importanti, e anche macOS ne tura quasi altrettante.

Come sempre, prima di fare un aggiornamento del software, ricordatevi di creare una copia di sicurezza dei vostri dati, per non perderli qualora l’aggiornamento fallisse.

Fonti aggiuntive: Ars Technica, Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iPhone, pronta la patch PDF, niente jailbreak facile

iPhone, pronta la patch PDF, niente jailbreak facile

Credit: mwilkie.

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

L’11 agosto Apple ha rilasciato di gran carriera gli aggiornamenti del sistema operativo iOS per iPhone/iPod Touch e iPad che chiudono la grave falla, scoperta pochi giorni fa, che consentiva di infettare questi dispositivi semplicemente scaricando e visualizzando un documento PDF. Turando la falla, però, diventa inservibile il servizio di sblocco (jailbreak) veloce e facile offerto da Jailbreakme.com, che si basava appunto sull’uso di questa vulnerabilità a fin di bene.

Gli aggiornamenti compaiono esclusivamente sul programma iTunes e non apportano altre modifiche o novità, per cui chi avesse sbloccato il proprio dispositivo può in teoria anche evitare di aggiornarlo, purché si ricordi che rischia di essere infettato se incontra e apre un documento PDF ostile. Il breve avviso tecnico di Apple è consultabile qui (iPhone/iPod) e qui (iPad).

Preparatevi a uno scaricamento piuttosto consistente: secondo The Unofficial Apple Weblog, l’aggiornamento per iPhone/iPod è di ben 580 megabyte e quello per l’iPad è di 475 megabyte. Sono inclusi nel rattoppo gli iPhone dal 3G in poi e gli iPod touch dalla seconda generazione in avanti.

Se avete un iPhone o iPod delle generazioni precedenti, Apple non ha rimedi per voi. Come segnalato nei commenti, se volete proteggervi contro la falla PDF dovete ricorrere al jailbreak e all’applicazione PDF Patch che trovate visitando Cydia con il vostro dispositivo. Come è capitato a me con il mio iPod touch, modello MA623LL. Grazie Apple.

Ah, se fate un jailbreak, non dimenticate di cambiare la password di root. Quella predefinita è alpine. Le istruzioni sono sempre su Cydia.



Fonti aggiuntive: Engadget, Gizmodo, ZDNet, Sophos, Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iPhone e iPad vecchi, perché un ultimatum per aggiornarli?

iPhone e iPad vecchi, perché un ultimatum per aggiornarli?

Se avete un iPhone 5 o 4s o un iPad non recente con connessione cellulare, affrettatevi a scaricare e installare l’aggiornamento software fornito da Apple entro il 2 novembre. Se non lo fate, il vostro dispositivo perderà gran parte delle sue funzioni.

Lo segnala Apple qui e qui: in sintesi, è necessario installare questo aggiornamento per usare qualunque funzione che faccia uso della data e dell’ora esatta, ossia quasi tutte, come per esempio l’App Store, iCloud, la mail e la consultazione di siti web.

Apple spiega che l’aggiornamento serve per consentire ai dispositivi di continuare a gestire correttamente i dati GPS di geolocalizzazione. I satelliti GPS, infatti, trasmettono le informazioni riguardanti le date usando un contatore di settimane che ha 1024 valori. Ogni 1024 settimane, ossia circa 20 anni, il contatore riparte da zero. I vecchi dispositivi Apple citati non gestiscono correttamente questa ripartenza se non vengono aggiornati.

Dal 3 novembre, quindi, perderanno l’accesso a Internet e all’App Store e quindi non potranno più scaricare aggiornamenti. Da qui nasce l’ultimatum di Apple.

I principali dispositivi colpiti, e quindi da aggiornare, sono i seguenti:

  • iPhone 5
  • iPhone 4s
  • iPad di quarta generazione Wi-Fi + cellulare
  • iPad di terza generazione Wi-Fi + cellulare
  • iPad mini di prima generazione WiFi + cellulare

Non sono colpiti gli iPod touch o gli iPad con solo Wi-Fi.

Dopo l’aggiornamento, potrete controllare che sia andato a buon fine andando in Impostazioni – Generali – Info e guardando il numero della versione di software, che deve essere 10.3.4 o 9.3.6.

Se non aggiornate in tempo, c’è ancora un modo per rimediare, che è descritto nelle pagine di Apple linkate sopra, ma è complicato, per cui ve lo sconsiglio. Fate gli aggiornamenti subito.

Fonti aggiuntive: Naked Security, Hot for Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.