Blog/News

Bastava visitare dei siti malevoli perché l'iPhone venisse hackerato, permettendo ai criminali informatici di avere il pieno controllo del dispositivo e di conseguenza di spiarne il proprietario. L'attacco che, secondo Vice, "potrebbe essere uno dei più grandi mai effettuati contro gli utenti della Mela" è stato efficace per due anni ed è stato scoperto dai ricercatori di Google's Project Zero, un team interno a Big G che si occupa di scovare le vulnerabilità "zero day", cioè quelle falle non ancora note agli sviluppatori di un determinato sistema informatico.

 

"Non veniva fatta alcuna discriminazione per quel che riguarda il bersaglio, semplicemente visitare il sito hackerato era sufficiente al server di exploit per attaccare il tuo dispositivo e, se l'attacco fosse andato a buon fine, di installare un sistema di monitoraggio", ha spiegato in un post pubblicato giovedì Ian Beer, ricercatore di sicurezza informatica del Project Zero. Gli analisti hanno stimato che questi siti malevoli erano visitati migliaia di volte a settimana e hanno permesso di "bucare" gli iPhone per un periodo di due anni. Vulnerabili erano i dispositivi dotati del sistema operativo iOS 10 e seguenti, mentre il problema è stato risolto con iOS 12.1.4. Un aggiornamento rilasciato da Cupertino lo scorso febbraio dopo la segnalazione dei ricercatori di Project Zero che hanno allertato l'azienda in privato e le hanno concesso una settimana di tempo per risolvere la questione e mettere in sicurezza i propri utenti.

 

In particolare, a offrire il fianco degli iPhone ai malintenzionati erano cinque sequenze di exploit (codici di attacco) che coinvolgevano 12 diverse falle di sicurezza, incluse sette riguardanti Safari: il browser web pre-installato su tutti gli iPhone. Una serie di vulnerabilità che permettevano ai criminali di ottenere i permessi root del dispositivo in questione e modificare liberamente anche quelle impostazioni che normalmente risultano inaccessibili. Di conseguenza avevano la possibilità, per esempio, di "installare delle app malevole in grado di spiare il proprietario dell'iPhone senza il suo consenso", scrive TechCrunch. In questo caso specifico, stando alle analisi di Google, le falle venivano usate per rubare i file degli utenti, come foto e messaggi (scritti su Telegram, WhatsApp e iMessage), scoprirne la posizione in tempo reale, e accedere alle password salvate. Per eliminare il malware bastava resettare il dispositivo, ma nel frattempo il virus informatico era già stato in grado di sottrarre molteplici informazioni sensibili.

 

Apple si è rifiutata di commentare l'accaduto, ma la notizia sta facendo scalpore tra gli addetti ai lavori considerata la buona reputazione della Mela in termini di sicurezza. "È sorprendente che un attacco così poco 'silenzioso' non abbia fatto scattare alcun allarme e a identificare il problema sia stata la telemetria di Google e non quella di Apple", commenta Stefano Zanero, professore di sicurezza informatica del Politecnico di Milano. Ma non solo, secondo Zanero la vicenda insegna anche un'altra, più importante, lezione: "Ora - avverte - abbiamo la conferma che esistono avversari con sufficienti capacità da 'bruciare' catene complete di exploit, inclusi zero-day, per un sistema notoriamente robusto come iOS, usandoli contro una popolazione ampia e non bersagli precisi".