I siti Web malevoli hanno diffuso malware iOS tra migliaia di utenti nella più estesa operazioni di hacking di iPhone di sempre e non si è ancora capito chi si cela dietro questa operazione.
di Patrick Howell O’Neill
- Il malware potrebbe rubare password, messaggi crittografati e contatti
- Non è chiaro chi c’è dietro la campagna di hacking o chi è stato preso di mira
- Se l’utente ha aggiornato l’iPhone è protetto
Secondo una ricerca di Google, il più grande attacco di cui si è venuti a conoscenza contro gli utenti di iPhone è durato almeno due anni e ha colpito potenzialmente migliaia di persone.
Il malware è potenzialmente in grado di saccheggiare l’intero iPhone per rubare password, messaggi crittografati, posizioni, contatti e altre informazioni estremamente sensibili.
I dati sarebbero stati inviati a un server di comando e controllo utilizzato dagli hacker per eseguire l’operazione.
L’ambito, l’esecuzione e la durata senza precedenti della campagna di hacking indica la concreta possibilità di una azione sostenuta da una nazione, ma l’identità sia degli hacker che dei loro obiettivi è ancora sconosciuta.
“I dati acquisiti sono di grande valore”, afferma Jonathan Levin, autore di tre libri sul funzionamento dei sistemi operativi Apple. “Si rubano le password, i dati sulla posizione, le chat, i contatti e si crea un rete ombra di connessioni di tutte le vittime. Di sicuro esce fuori qualche obiettivo interessante”.
Apple ha corretto rapidamente i bug a febbraio 2019, quindi tutti coloro che hanno aggiornato il loro iPhone da allora sono protetti.
Il riavvio dell’iPhone ha cancellato il malware, ma i dati erano già stati acquisiti. Non si sa chi ha subito il furto e gli stessi utenti dell’iPhone non ne sono a conoscenza perché il malware viene eseguito in background senza indicatore visivo e nessun modo per un utente iOS di visualizzare i processi in esecuzione sul dispositivo.
Nel gennaio del 2019, il Threat Analysis Group (TAG) di Google, gli specialisti del controspionaggio del colosso tecnologico, ha scoperto per la prima volta siti Web compromessi che distribuivano malware a migliaia di visitatori alla settimana.
La tattica è nota come “avvelenamento delle sorgenti d’acqua”: gli aggressori inoculano il malware nei siti Web malevoli e attendono che l’utente si colleghi per infettarlo. E’ sufficiente entrare nel sito per scaricare il malware.
A offrire offrire il fianco degli iPhone ai malintenzionati erano cinque sequenze di exploit (codici di attacco) con 14 falle di sicurezza, tra cui almeno una vulnerabilità attiva zero-day, il termine usato per descrivere un bug sfruttabile non scoperto da un’azienda come Apple.
Quando una catena di exploit viene resa inutile da una patch Apple, l’hacker implementa rapidamente la successiva. TAG ha trasmesso l’informazione ad Apple, che ha rilasciato la patch iOS 12.1.4 il 7 febbraio con una correzione.
Project Zero di Google, il team di esperti della sicurezza dell’azienda, ha trascorso gli ultimi sette mesi a analizzare questi bug.
Come ha scritto Ian Beer, di Google: “Non vi è stata alcuna operazione mirata. Visitare il sito compromesso era sufficiente per consentire al server exploit di attaccare il dispositivo e, in caso di successo, installare un impianto di monitoraggio. Si calcoli che questi siti ricevano migliaia di contatti a settimana”.
Non è chiaro chi sia stato colpito dal malware. Project Zero di Google non ha rilasciato informazioni precise su questo punto e neanche sui siti Web infetti.
Probabilmente né Apple né Google hanno una contabilità completa delle vittime, ma si potrebbe risalire alla loro identità indagando sul tipo di utenti che in genere si collegano a quel tipo di siti.
Ma chi c’è dietro? Esiste un’intera industria di hacking con tecniche offensive che crea e vende strumenti di pirateria informatica a governi e aziende di tutto il mondo.
Il gruppo NSO è il più famoso, ma secondo quanto riferito agisce in modo mirato. Levin ritiene che le dinamiche del malware indichino la presenza di una nazione dietro questo attacco, dato che il modello utilizzato non è qualcosa che un tipico hacker o una piccola azienda potrebbe permettersi di eseguire.
La rivelazione ha avuto ripercussioni immediate in tutto il settore della sicurezza informatica. “Questa è la prima volta che si scopre che tali exploit vengono utilizzati in modo massiccio, indiscriminatamente contro qualsiasi individuo ignaro che si trova a visitare i siti Web melevoli”, afferma Levin.
Una delle vittime più conosciute del malware iPhone è Ahmed Mansoor, un attivista per i diritti umani di fama mondiale incarcerato per aver criticato il governo degli Emirati Arabi Uniti, soprannominato “il dissidente dal valore di milioni di dollari” a causa dell’elevato costo del malware utilizzato per hackerare il suo iPhone e spiarlo.
Fino a oggi, i prezzi elevati di questo tipo di hacking avevano impedito di impiegarlo in modo indiscriminato. Sfruttare le vulnerabilità del sistema operativo iOS di Apple, il software che alimenta sia l’iPhone che l’iPad, è un processo complesso e costoso.
“Penetrare nel sistema iOS richiede di eludere e aggirare le formidabili difese di Apple, a più livelli”, sostiene Levin. La scoperta di Google rimette tutto in discussione.
Modifica anche la percezione della sicurezza degli iPhone. Individui ad alto rischio tra cui giornalisti, avvocati, attivisti politici usano gli iPhone nella speranza che i dispositivi offrano una vera difesa contro gli hacker che, in alcuni casi, possono rappresentare una minaccia alla loro vita.
“Gli utenti prendono decisioni sui rischi in base alla percezione pubblica della sicurezza di questi dispositivi”, ha scritto Beer. “La realtà, però, rimane che le protezioni di sicurezza non sono in grado di eliminare il rischio di attacchi se si viene presi di mira”.
Immagine: AP / MIT Technology Review
(rp)
