Hai notato app strane che sembrano sapere troppe cose sul tuo iPhone o iPad? Potrebbe dipendere da una vulnerabilità di sicurezza appena scoperta. Si tratta di CVE-2025-24090, un problema che consente ad applicazioni maligne di elencare tutte le app installate sul tuo dispositivo. La buona notizia? Apple ha già corretto il difetto con iOS 18.3 e iPadOS 18.3. Aggiorna immediatamente andando su Impostazioni > Generali > Aggiornamento software per bloccare questo rischio e proteggere la tua privacy.
Questa falla, anche se classificata come a bassa gravità, rappresenta un pericolo reale per la tua sicurezza quotidiana. Immagina che un’app innocua scopra che usi banking online, social network specifici o tool sensibili: queste informazioni possono essere usate per attacchi mirati, phishing personalizzati o profilazione invasiva. Non aspettare: l’aggiornamento è la soluzione più semplice e efficace.
Cos’è CVE-2025-24090?
CVE-2025-24090 è un difetto nei permessi di sistema operativo Apple. In pratica, un’app con privilegi limitati poteva accedere a dati riservati, scoprendo l’elenco completo delle applicazioni installate sui dispositivi iOS e iPadOS. Questo tipo di vulnerabilità, nota come enumerazione delle app, viola i principi base di privacy e isolamento delle app, pilastri della sicurezza di Apple.
Apple ha risolto il problema introducendo restrizioni aggiuntive nei controlli di permessi. Ora, le app non possono più sondare il tuo dispositivo in questo modo subdolo. La patch è disponibile per tutti gli utenti e richiede solo pochi minuti per l’installazione.
I rischi reali per gli utenti
Sembra innocuo, ma l’enumerazione delle app installate apre la porta a scenari preoccupanti:
- Profilazione utente: Gli attaccanti creano profili dettagliati basati sulle tue abitudini digitali.
- Attacchi mirati: Conoscendo le app, possono inviare phishing su misura o exploit specifici.
- Violazione privacy: Dati sensibili come app bancarie, mediche o di dating diventano visibili.
Anche se il punteggio CVSS 3.1 la classifica come low severity, il potenziale danno cumulativo è significativo, specialmente in un ecosistema dove le app third-party sono ubiquitarie.
Dispositivi colpiti
La vulnerabilità interessa:
- iOS precedenti a 18.3 (inclusi iPhone con versioni più vecchie).
- iPadOS precedenti a 18.3 (tutti gli iPad compatibili).
Se il tuo dispositivo è bloccato su versioni inferiori per obsolescenza, considera l’upgrade hardware. Altrimenti, verifica subito la tua versione corrente in Impostazioni > Generali > Info.
Passi pratici per proteggerti
- Apri Impostazioni sul tuo iPhone o iPad.
- Vai su Generali > Aggiornamento software.
- Se disponibile, scarica e installa iOS 18.3 o iPadOS 18.3.
- Riavvia il dispositivo dopo l’update.
Questi passaggi bloccano CVE-2025-24090 e correggono decine di altre falle. Abilita gli aggiornamenti automatici per stare sempre protetto.
Contesto nel panorama delle minacce Apple
Questa vulnerabilità non è isolata. Recentemente, Apple ha affrontato:
- CVE-2025-43400: Errore di scrittura out-of-bounds che permette esecuzione codice arbitrario, segnalato dal BSI tedesco.
- CVE-2025-43200: Falla zero-click nell’app Messaggi, sfruttata per spyware Graphite.
Queste minacce sottolineano l’importanza di aggiornamenti tempestivi. Gruppi cybercriminali stanno già sfruttando simili difetti, rendendo gli update essenziali.
Mantieni il Lockdown Mode attivo se gestisci dati sensibili, e evita app da fonti non ufficiali. La sicurezza di Apple è tra le migliori, ma richiede manutenzione attiva.
Cosa fare oggi
Non posticipare: aggiorna ora. Una bassa gravità non significa zero rischio. Con iOS 18.3 e iPadOS 18.3, il tuo dispositivo è più sicuro contro enumerazione app e altre minacce emergenti.
Approfondimento tecnico
Approfondimento tecnico per esperti
CVE-2025-24090 rientra nella categoria delle vulnerabilità di permission bypass nel sandbox di app iOS/iPadOS. Tecnicamente, un’app poteva sfruttare API di sistema per query indirette sull’elenco delle app installate, violando il modello di isolamento dyld_shared_cache.
Il fix Apple coinvolge miglioramenti nella gestione dei permessi tramite entitlements aggiuntivi e checks runtime in libMobileGestalt. In termini di CVSS v3.1:
- Vector: AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N (punteggio 3.3, low).
- Impatto principale: confidentiality parziale su lista app.
Per tester, replicate con tool come Frida: intercettate chiamate a MGCopyAnswer(key=”com_apple_MobileGestalt_InstalledApps”) pre/post-patch. Noterete denial su versioni patched.
Contesto CVE correlate:
- CVE-2025-24124: Use-after-free con privilege escalation, attivamente sfruttata pre-iOS 17.2.
- CVE-2025-24085: Crash da web content malizioso.
Sorgenti open-source influenzate includono WebKit e ImageIO. Per sviluppatori, audit code con bound checks: es. if (index >= array.count) return nil;.
Monitora NVD per CVE-2025-* su Apple. Usa sysdiagnose per log post-exploit analysis. In produzione, implementa MDM per enforcement update fleet-wide.
Questa analisi si basa su report ufficiali e advisory GitHub, confermando efficacia patch. Per exploit PoC, consulta repo security researcher (non linkati per policy).
