Il Silenzio sul Grande Bug dell'Hardware

Cassandra Crossing/ La maggior parte degli iPhone già venduti sono vulnerabili senza possibilità di patch, ma la notizia non esce sui media generalisti: perché?



[ZEUS News - www.zeusnews.it - 05-12-2019]

iPhone Matrix Code Exploit

Alcuni dei 24 inossidabili lettori di Cassandra avranno seguito, nelle chat di sviluppatori, di esperti di computer forensics o di hardware, una questione che sulla stampa estera specialistica ha dato luogo a una manciata di articoli, ma che sui media tradizionali, particolarmente quelli italiani, è passata completamente sotto silenzio.

La notizia è tecnica e si può riassumere dicendo che la bootrom della maggior parte dei prodotti Apple, inclusi gli iPhone (dal vecchio iPhone 4 al recente iPhone X), ha un bug che permette di prendere il controllo del telefono prima del boot di iOS.

In pratica puoi far fare al telefono quello che vuoi, incluso cose come leggere i file anche se il telefono è bloccato. Anche per dei prodotti che (meritatamente, credetemi) hanno la reputazione di essere molto più sicuri di altri.

La vulnerabilità si chiama Checkm8, e l'exploit, cioè il software che permette (ai buoni) di eseguire analisi forensi prima impossibili, e ad altri Cassandra non osa pensare cosa, si chiama Checkra1n (con "1" non con "l").

Cassandra, che vede sempre le cose in prospettiva, non è interessata a questo bug, né tantomeno ai device che ne sono suscettibili, al loro numero, alla loro marca o alla reputazione della marca stessa (di cui in passato è stato anche sviluppatore). L'interesse, anzi la preoccupazione, è che l'interpretazione che fa del silenzio su quest'evento sia esatta.

Pensateci. La bootrom, pur essendo un bug software, fa parte dell'hardware, poiché non è patchabile. È quindi un bug hardware, che ammette solo due soluzioni: la prima, sostituire il prodotto; la seconda, far finta di nulla, sperando che nessuno si arrabbi troppo, rimediando all'eventuale pubblicità negativa ingaggiando una reputation agency.

Potendo capitare in qualsiasi prodotto che contenga software, questo sarà probabilmente, nel prossimo futuro, il normale approccio di tutti i produttori di oggetti col cuore informatico come IoT, elettrodomestici, automobili, droni, smartphone, televisori, LAWs (Armi Autonome Letali), qualsiasi cosa.

Ma gli utenti finali? Quelli che hanno in mano un oggetto divenuto improvvisamente pericoloso? Normalmente li chiamano consumatori, cioè esseri eminentemente passivi e controllabili. Ma se diventassero proprietari arrabbiati, come avrebbero tutto il diritto di fare, e membri di una class action? E se questo succedesse per ogni prodotto a larga diffusione che si scoprisse irrimediabilmente fallato?

Cosa sperare per il futuro? Che i consumatori reagiscano davvero? Ma dai. Che il legislatore italiano incida efficacemente sul problema? Magari, ma il passato insegna. Che l'Europa incida sulla realtà come nel caso degli alimentatori telefonini? Potrebbe essere, ma è come sperare che, dopo aver sconfitto un topolino, riesca a far polpette di un branco di T-Rex inferociti.

Ma una cosa fa paura anche ai T-Rex: le class action. Adiconsum, Altroconsumo, Codacons, siete in linea?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 19)

Esattooooooo!!!!!! Triste ma vero. :cry:
15-12-2019 10:07

@Gladiator quindi... ad nostra domum... solo e sempre volatili della specie padulo?? :cry:
14-12-2019 21:04

Si tratta, evidentemente, di "democrazia e progresso" pro domo loro... :twisted:
14-12-2019 18:22

Mi associo, esprimendo una ulteriore preoccupazione. Se questi sono quelli che si vantano di essere i portatori di "democrazia e progresso"... :incupito: Leggi tutto
14-12-2019 17:59

La prima cosa che mi viene in mente č che la diffusione di una notizia del genere porterebbe ad un danno di immagine e, immediatamente dopo, economico di proporzioni enormi per la/le azienda/e coinvolta/e, la seconda č che chi ha fatto mettere la backdoor potrebbe non essere troppo felice se la cosa viene troppo risaputa in giro. Ovvio... Leggi tutto
14-12-2019 15:27

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali sono i rischi maggiori del cloud computing?
Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilitā di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttivitā e immagine aziendale.
Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.

Mostra i risultati (1321 voti)
Agosto 2022
WhatsApp, arriva il blocco degli screenshot
Le chiavi dell'auto? Al sicuro nel microonde
Intel, 5 miliardi per costruire uno stabilimento in Italia
E Spot prese il fucile
Gmail, la nuova interfaccia adesso è per tutti
Luglio 2022
Istruzioni per il voto: la busta
Il Tribunale di Milano ordina a Cloudflare di censurare tre siti
Microsoft, un nuovo Windows ogni tre anni
TIM: 9.000 esuberi e un ultimatum al Governo
L'algoritmo che predice i crimini con una settimana d'anticipo
Alexa fa parlare i morti
Giugno 2022
Tesla e la batteria che dura 100 anni
Cosa succede alle password se cambio o perdo il mio dispositivo?
Il sistema operativo open source che ridà vita ai vecchi smartphone
Adobe, prove di Photoshop gratuito per tutti
Tutti gli Arretrati
Accadde oggi - 19 agosto


web metrics