Apple ha rilasciato un aggiornamento per la Magic Keyboard, scongiurando una grave minaccia alla sicurezza Bluetooth.
Gli utenti di dispositivi Apple possono tirare un sospiro di sollievo: una criticità di sicurezza, che avrebbe potuto lasciare la porta aperta a malintenzionati, è stata neutralizzata grazie a un tempestivo aggiornamento del firmware dei tastieri wireless della marca, la Magic Keyboard. La vulnerabilità Bluetooth individuata permetteva, in teoria, di eseguire una keystroke injection, ovvero l’inserimento di sequenze di tasti indesiderate e potenzialmente dannose, attraverso una connessione senza fili.
Il problema è emerso per la prima volta a dicembre, quando un ingegnere di SkySafe, Marc Newlin, ha rivelato dettagli preoccupanti su come un attaccante, nel raggio operativo del Bluetooth, potrebbe compromettere un dispositivo vulnerabile senza bisogno di autenticazione. L’alert ha evidenziato come un aggressore potesse utilizzare semplicemente un computer Linux e un adattatore Bluetooth per attuare l’attacco.
Equipaggiamenti come smartphone Android e sistemi Linux risultavano ugualmente suscettibili a questo rischio di sicurezza, svelando così un quadro di potenziale pericolo per un ampio spettro di tecnologie.
È stato riferito che, sfruttando questa breccia, uno stratagemma malizioso poteva indurre un dispositivo a collegarsi a una false Magic Keyboard senza alcuna conferma da parte dell’utente, bypassando quindi le misure di sicurezza. Tale scenario era ancora più grave se considerato che l’attacco poteva verificarsi anche con dispositivi iOS e macOS bloccati, purché il Bluetooth fosse attivo.
Consci dell’urgenza, Apple ha rilasciato una versione aggiornata del firmware, specificatamente la 2.0.6, che tappa efficacemente la falla precedentemente esposta, benché l’azienda non abbia esplicitamente menzionato la possibilità di keystroke injection tra le preoccupazioni risolte. Il punto focale era infatti l’accesso fisico all’accessorio che, secondo Apple, avrebbe potuto permettere di intercettare la chiave di accoppiamento Bluetooth e, di conseguenza, monitorare il traffico Bluetooth.
La soluzione ha trovato applicazione in diversi modelli di Magic Keyboard, incluso il modello con tastierino numerico, sia nella versione con Touch ID che senza. La conferma che l’aggiornamento abbia definitivamente sanato le vulnerabilità è arrivata direttamente dall’ingegnere SkySafe, che, attraverso una verifica rapida, ha constatato l’efficacia della correzione.
In un’epoca in cui la cyber security è sotto la costante minaccia di attacchi sempre più sofisticati, l’esempio di Apple sottolinea l’importanza della rapidità e dell’efficacia nell’implementazione di misure correttive contro vulnerabilità scoperte nei dispositivi tecnologici.