Un file DNG, apparentemente innocuo, si è trasformato in una chiave universale per violare uno dei sistemi più blindati al mondo: l’ecosistema Apple. La vulnerabilità CVE-2025-43300, scoperta nel modulo RawCamera.bundle, ha dimostrato come un semplice errore di parsing possa aprire le porte a un attacco 0-click, in grado di eseguire codice arbitrario senza alcuna interazione da parte dell’utente. Un incubo per la sicurezza, che ha colpito iOS, iPadOS e macOS in diverse versioni, costringendo Apple a una corsa contro il tempo per rilasciare patch di emergenza.
L’inganno nei metadati: quando un’immagine diventa un’arma
Tutto nasce da un conflitto tra ciò che un file dichiara di essere e ciò che realmente contiene. Il formato DNG (Digital Negative), sviluppato da Adobe e basato sulla specifica TIFF, consente di memorizzare immagini in formato raw con compressione JPEG Lossless. Il problema sorge quando, all’interno di un file DNG, i metadati nel blocco SubIFD affermano che ogni pixel ha due canali (SamplesPerPixel = 2), mentre il flusso JPEG Lossless al suo interno ne contiene solo uno (SOF3 = 1).
Il codice di decompressione di Apple, cercando di elaborare i dati secondo i metadati, finisce per uscire dai limiti del buffer, sovrascrivendo aree di memoria non allocate. Un errore apparentemente banale, ma sufficiente a creare le condizioni per l’esecuzione di codice malevolo. Come ha spiegato l’esperto di sicurezza Matt Suiche, questa discrepanza tra metadati e contenuto reale è il cuore dell’exploit: un trucco che sfrutta la fiducia cieca del sistema nei confronti dei dati dichiarati.
DNG: il cavallo di Troia perfetto
Il formato DNG gode di una reputazione impeccabile nel mondo della fotografia professionale. È aperto, flessibile e ampiamente supportato, il che lo rende il veicolo ideale per un attacco stealth. Gli utenti non sospetterebbero mai di un file immagine, soprattutto se ricevuto tramite iMessage o altre piattaforme di messaggistica. Eppure, proprio questa fiducia è stata sfruttata per colpire obiettivi specifici, come rivelato da Apple stessa: la vulnerabilità è stata attivamente sfruttata in attacchi mirati, con tecniche di ingegneria sociale raffinate.
A peggiorare le cose, il meccanismo BlastDoor di Apple — progettato per isolare e analizzare i file in entrata — ha concesso a RawCamera.bundle permessi eccessivi, tra cui la possibilità di mappare file con diritti di esecuzione. Una scelta che, secondo il ricercatore u0pattern_cs, ha reso ancora più semplice per gli attaccanti consolidare la propria presenza nel sistema dopo l’iniziale compromissione.
ELEGANT BOUNCER: la risposta della comunità open source
Di fronte a una minaccia così subdola, la comunità della sicurezza non è rimasta a guardare. È nato ELEGANT BOUNCER, uno strumento scritto in Rust che analizza i file DNG alla ricerca delle anomalie tipiche di CVE-2025-43300. Il suo funzionamento si basa su un’analisi multi-livello:
- Parsing del TIFF: verifica la struttura del file, tenendo conto dell’endianness e della corretta interpretazione dei dati.
- Elaborazione delle IFD: estrae le voci delle directory immagine (IFD) e delle sottodirectory (SubIFD), controllando i valori di SamplesPerPixel.
- Analisi del JPEG Lossless: cerca il marcatore SOF3 per determinare il numero effettivo di componenti cromatiche.
Se lo strumento rileva un conflitto tra i metadati dichiarati e il contenuto reale (ad esempio, SamplesPerPixel = 2 ma SOF3 = 1), segnalerà il file come potenzialmente malevolo. Un approccio che, sebbene non infallibile, offre un livello di difesa aggiuntivo in attesa di patch ufficiali.
Lezioni da una vulnerabilità “elegantemente” pericolosa
CVE-2025-43300 non è solo un altro bug nella lunga lista delle falle di sicurezza. È un promemoria di come la complessità dei formati moderni — che combinano standard diversi e livelli di compressione — possa diventare un’arma a doppio taglio. Apple, nonostante il suo ecosistema chiuso e i rigorosi controlli, non è immune a errori di implementazione che, se sfruttati con maestria, possono vanificare anni di investimenti in sicurezza.
Le contromisure immediate sono chiare: aggiornare i dispositivi alle versioni patchate (iOS 18.6.3, macOS Sequoia 15.6.2, e così via), disabilitare l’anteprima automatica dei file provenienti da fonti non attendibili e, per gli utenti più paranoici, utilizzare ELEGANT BOUNCER per scansionare i file sospetti. Ma la vera lezione è altra: in un mondo dove anche un’immagine può nascondere una minaccia, la difesa deve essere proattiva, stratificata e costantemente aggiornata.
Il futuro: tra 0-click e la corsa agli armamenti digitali
Gli attacchi 0-click rappresentano l’apice dell’evoluzione delle minacce informatiche. Non richiedono interazione, sono difficili da rilevare e possono colpire anche gli utenti più attenti. CVE-2025-43300 ne è un esempio lampante: un exploit che sfrutta la fiducia nel formato DNG, la complessità del parsing e la rapidità con cui un file apparentemente innocuo può diventare un vettore di infezione.
Apple ha corretto la falla, ma la domanda rimane: quante altre vulnerabilità simili sono ancora là fuori, in attesa di essere scoperte? In un panorama dove la sicurezza è una corsa senza fine, l’unica certezza è che la prossima minaccia potrebbe nascondersi dove meno ce lo aspettiamo: magari, di nuovo, in un’immagine.