iPhone hackerati per almeno due anni !!
14 vulnerabilità e semplici visite a siti web dall’aspetto innocuo.
L’abbiamo sempre detto, non esiste un sistema più sicuro rispetto agli atri, soprattutto se si viene presi di mira. E oggi tutto ciò che è collegato ad internet, viene preso di mira, anche attraverso “attacchi di massa”.
La pericolosa notizia riguarda questa volta tutti gli utilizzatori di iPhone. Ma non solo. Quanti sono quelli che vengono collegati per lavoro alle reti aziendali aumentando così la superficie di attacco delle stesse ma anche mettendo in pericolo i dati sensibili che essi contengono nel caso in cui, caso che sembrava remoto, fossero compromessi?
Ebbene, proprio l’iPhone, è stato hackerato segretamente per almeno due anni a causa delle sue vulnerabilità. E ciò avveniva semplicemente visitato siti web dall’aspetto innocuo, ma che in realtà erano stati in precedenza compromessi dai criminali.
E’ stata pubblicata ieri dal Team “Project Zero” di Google, il famoso team di Sicurezza Informatica che ha come obiettivo quello di rendere difficile la vita alle vulnerabilità “0-day” (quelle cioè che ancora non sono note ai produttori del software e per le quali non esistono pertanto patch e mitigation), la notizia di aver individuato almeno 5 catene di exploit disponibili in rete che sfruttano ben 14 vulnerabilità esistenti sul sistema operativo iOS, 7 sul browser Web Safari, 5 nel Kernel iOS e 2 sulle funzioni di sandboxing del browser.
Il tutto risale alla diffusa campagna hacking che era stata individuata all’inizio del 2019. I ricercatori di Google avevano individuato un piccolo gruppo di siti web compromessi che venivano utilizzati, già da tempo, per attacchi indiscriminati verso gli utilizzatori di iPhone qualora avessero visitato, con il browser Web Safari, tali siti opportunamente compromessi. E sappiamo dalle informazioni dei ricercatori, che tali siti ricevevano migliaia di visitatori a settimana. Secondo il ricercatore del “progetto zero”, Ian Beer, però, solo due vulnerabilità (CVE-2019-7287 e CVE-2019-7286), delle 14, erano “0-day” senza patch al momento della scoperta.
Sorprendentemente tale campagna è rimasta inosservata per almeno due anni ed ha colpito quasi tutte le versioni di iPhone da iOS 10 fino alla ultima iOS 12. I ricercatori di Google il 01 febbraio 2019 hanno segnalato ad Apple quanto scoperto. A seguito di ciò Apple rilasciava la versione iOS 12.1.4 la quale correggeva, tra le altre, anche le due vulnerabilità.
Il Team “Project Zero” rende ora disponibile sulla pagina web della notizia, i dettagli di tutte le 5 catene di exploit individuate, che comprendono:
- L’analisi degli exploit del browser utilizzati come punto di ingresso iniziali dell’attacco.
- Un dettagliato write-up degli exploit di Privilege Escalation utilizzati dai criminali per fare il jailbreak dei dispositivi da remoto (diventando root) e poter installare il sistema di monitoraggio malevolo.
- Una demo in cui si può vedere cosa avviene sul dispositivo violato. Questo infatti dialoga con un server di Comando e Controllo (C&C) e gli invia ogni 60 secondi tutti i dati che riesce a rubare dall’iPhone. Quindi messaggi, foto, contatti, posizione GPS, ma anche il database delle App di messaggistica come WhatsApp, Telegram, iMessage, Habgouts, GMail, e anche quelli del portachiavi che memorizza le credenziali, i token di autorizzazione e i certificati usati sul dispositivo.
La caratteristica dell’attacco era tale per cui le vittime non avevano possibilità di accorgersene, non esisteva infatti alcun indicatore visivo sul device che potesse mettere in guardia il malcapitato. Gli utenti iOS non hanno di norma modo di vedere l’elenco dei processi in esecuzione e per tale motivo i file malevoli non avevano nemmeno bisogno di nascondere la loro esecuzione.
Una inizializzazione del telefono avrebbe sicuramente rimosso l’impianto malevolo senza lasciare traccia, è anche vero però che visitando di nuovo il sito malevolo si sarebbe stati compromessi di nuovo. In ogni caso i dati trafugati restano comunque nelle mani del criminale il quale potrebbe così anche in futuro accedere ai vari account e servizi con i dati rubati dal portachiavi dello Smartphone.
Apple ha già corretto gran parte delle vulnerabilità sfruttate dagli exploit individuati e sta dimostrando di voler fornire sempre maggior sicurezza ai suoi clienti aumentando le “taglie” del suo programma “Bug Bounty” portando a un milione di dollari la ricompensa che spetterà a chi segnala exploit e vulnerabilità sui prodotti iOS, macOs, tvOs, watchOs, e iCloud.
Nonostante ciò consigliamo di mantenere aggiornati i propri dispositivi e alta l’attenzione alla tematica della Sicurezza per tutti i dispositivi, anche nell’utilizzo che se ne fa. Quanto accaduto sugli iPhone deve farci riflettere e comprendere come anche le tecnologie ritenute più sicure possono essere violate da criminali con skill sempre più elevati.
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub