Linus Henze, il talentuoso hacker dietro il jailbreak di Fugu15 per i dispositivi arm64e con iOS e iPadOS 15.0-15.4.1, proprio questa settimana ha condiviso un proof of concept (PoC) per una vulnerabilità di sicurezza denominata CVE-2023-28206 che Apple ha risolto con il rilascio di iOS e iPadOS 16.4.1.
Henze ha annunciato il suo PoC brillante e lunedì mattina presto tramite Twitter, mostrato sopra, dove si collegava a una pagina GitHub che mostrava la sua metodologia e il risultato.
CVE-2023-28206 è stato segnalato ad Apple da Clément Lecigne di Google’s Threat Analysis Group e Donncha Ó Cearbhaill del Security Lab di Amnesty International. Come nota Apple sulla pagina dei contenuti di sicurezza per iOS e iPadOS 16.4.1, un aggiornamento del firmware che Apple ha rilasciato proprio la scorsa settimana , la vulnerabilità coinvolge IOSurfaceAccelerator e potrebbe aver concesso l’esecuzione di codice arbitrario a livello di kernel a qualsiasi app installata.
Sebbene la vulnerabilità esista in iOS e iPadOS 16.4 e versioni precedenti per iPhone 8 e versioni successive, vale la pena ricordare che è improbabile che si traduca in un pubblico rilascio di jailbreak a sé stante. Questo perché Apple ha rafforzato la sicurezza nelle ultime versioni del firmware, in particolare sui dispositivi più recenti, con strumenti come PAC e PPL. Questi ulteriori livelli di sicurezza richiedono bypass aggiuntivi affinché un jailbreak funzioni, il che complica le cose e aggiunge un po’più di lavoro per gli sviluppatori di jailbreak.
In ogni caso, è comunque fantastico vedere Henze lanciare Easter Eggs di tanto in tanto al tempo, poiché sono noti per aiutare la comunità del jailbreak. Ad esempio, lo sviluppatore di TrollStore opa334 sta ora conducendo uno sforzo per trasformare Fugu15 in un jailbreak pubblico. Questo sforzo è attualmente chiamato Fugu15 Max, ma dovrebbe portare un nome diverso quando raggiungerà il pubblico in generale al di fuori del periodo beta.
Chiunque sia interessato a vedere il PoC rilasciato di recente da Linus Henze può vai alla sua pagina GitHub per saperne di più.
Non vedi l’ora di vedere cosa ne sarà dell’ultima dimostrazione di Henze di concetto? Assicurati di farcelo sapere nella sezione commenti in basso.