La scorsa settimana, il team di ricerca sulla sicurezza di Project Zero di Google ha dettagliato un attacco mirato contro gli utenti di iPhone. Apple è ora intervenuta con un comunicato ufficiale per rassicurare gli utenti preoccupati di alcune delle affermazioni fatte da Google e assicurarsi che "tutti i nostri clienti conoscano i fatti", ritenendo che Google abbia ingigantito le cose.
Facciamo un passo indietro. In breve, nel report in questione, il gruppo di analisi delle minacce (TAG) di Google ha scoperto che una piccola raccolta di siti web compromessi venivano utilizzati in attacchi indiscriminati contro i visitatori che utilizzavano iPhone. Non c’era un target delle vittime, chiunque visitava con il suo iPhone con iOS 10/11/12 un sito compromesso dava accesso ad un malware progettato come "un impianto di monitoraggio" per rubare informazioni tra cui i dati sulla posizione in tempo reale.
Il team di Google ha spiegato di avere segnalato questi problemi ad Apple con una scadenza di 7 giorni l’1 febbraio 2019, cosa che ha portato al rilascio di iOS 12.1.4 il 7 febbraio 2019, condividendo anche i dettagli completi con Apple, che sono stati resi pubblici il 7 febbraio 2019.
Nella sua risposta, Apple ha detto che "Google ha pubblicato un report sulle vulnerabilità che Apple ha risolto per gli utenti iOS lo scorso febbraio" precisando che l’attacco "sofisticato" è stato focalizzato in modo ristretto, non si è trattato di un exploit su larga scala di iPhone "in massa" come riportato invece da Google. Il colosso di Cupertino ha rilevato che l’attacco ha riguardato meno di una dozzina di siti web "incentrati sui contenuti relativi alla comunità Uighur".
Indipendentemente dalla portata dell’attacco, Apple ha detto di prendere molto sul serio la sicurezza di tutti gli utenti.
Il post di Google, pubblicato sei mesi dopo il rilascio delle patch iOS, "crea la falsa impressione che ci sia stato uno ‘sfruttamento di massa’ per ‘monitorare le attività private di intere popolazioni in tempo reale’, suscitando la paura tra tutti gli utenti di iPhone che i loro dispositivi fossero stati compromessi. Non è mai stato così" ha spiegato il colosso di Cupertino.
In secondo luogo, "tutte le prove indicano che questi attacchi al sito web sono stati operativi solo per un breve periodo, circa due mesi, non ‘due anni’, come suggerisce Google".
Apple ha assicurato di avere risolto le vulnerabilità in questione a febbraio, lavorando molto rapidamente per risolvere il problema solo 10 giorni dopo esserne venuta a conoscenza. "Quando Google ci ha contattati, stavamo già risolvendo i bug sfruttati" ha precisato la società di Cupertino.
"La sicurezza è un viaggio senza fine e i nostri clienti possono essere certi che lavoriamo sempre per loro" ha aggiunto Apple, secondo cui "la sicurezza di iOS non ha eguali perché ci assumiamo la responsabilità, end-to-end, per la sicurezza dei nostri hardware e software. I nostri team per la sicurezza dei prodotti in tutto il mondo si impegnano costantemente per introdurre nuove protezioni e patch alle vulnerabilità non appena vengono rilevate. Non smetteremo mai di lavorare instancabilmente per proteggere i nostri utenti".