Questo 12 settembre 2018, la foto del file mostra un Apple iPhone XR in mostra allo Steve Jobs Theatre dopo un evento per annunciare nuovi prodotti, a Copertino, California Sospetti hacker di uno stato nazionale hanno utilizzato siti Web carichi di malware per infettare gli iPhone con spyware in quello che i ricercatori della sicurezza chiamano il peggior fallimento generale della sicurezza che abbia mai colpito i dispositivi Apple. Annunciato giovedì in tarda serata, 29 agosto 2019, dai ricercatori di Google, le vulnerabilità sono state risolte in silenzio da Apple a febbraio, ma solo dopo che migliaia di utenti iPhone sono stati ritenuti esposti per più di due anni. (Foto AP/Marcio Jose Sanchez, File)
I ricercatori affermano che sospetti hacker di uno stato nazionale hanno infettato gli iPhone di Apple con spyware per oltre due anni in quello che gli esperti di sicurezza venerdì hanno definito un allarmante errore di sicurezza per un'azienda il cui biglietto da visita è la privacy.
Una semplice visita a uno dei pochi siti Web contaminati potrebbe infettare un iPhone con un impianto in grado di inviare messaggi di testo al proprietario dello smartphone, e-mail, foto e dati sulla posizione in tempo reale alle cyberspie dietro l'operazione.
"Questo è sicuramente l'incidente di hacking di iPhone più grave che sia mai stato portato all'attenzione del pubblico, sia per il targeting indiscriminato che per la quantità di dati compromessi dall'impianto, " ha detto l'ex hacker del governo degli Stati Uniti Jake Williams, il presidente di Rendition Security.
Annunciato giovedì tardi dai ricercatori di Google, l'ultima delle vulnerabilità è stata risolta in silenzio da Apple entro febbraio, ma solo dopo che migliaia di utenti iPhone si credevano esposti per più di due anni.
I ricercatori non hanno identificato i siti Web utilizzati per seminare lo spyware o la loro posizione. Inoltre non hanno detto chi c'era dietro il cyberspionaggio o quale popolazione era stata presa di mira, ma gli esperti hanno detto che l'operazione aveva i tratti distintivi di uno sforzo di uno stato nazionale.
Williams ha affermato che l'impianto spyware non è stato scritto per trasmettere dati rubati in modo sicuro, indicando che gli hacker non erano preoccupati di essere scoperti. Ciò suggerisce che dietro ci fosse uno stato autoritario. Ha ipotizzato che fosse probabilmente usato per prendere di mira i dissidenti politici.
I dati sensibili a cui accede lo spyware includevano WhatsApp, messaggi di testo iMessage e Telegram, Gmail, fotografie, contatti e posizione in tempo reale, essenzialmente tutti i database sul telefono della vittima. Mentre le applicazioni di messaggistica possono crittografare i dati in transito, è leggibile a riposo su iPhone.
Il ricercatore di Google Ian Beer ha dichiarato in un blog pubblicato giovedì scorso che la scoperta dovrebbe dissipare qualsiasi idea che costi un milione di dollari per hackerare con successo un iPhone. Questo è un riferimento al caso di un dissidente degli Emirati Arabi Uniti il cui iPhone è stato infettato nel 2016 con i cosiddetti exploit zero-day, che sono stati conosciuti per ottenere prezzi così alti.
"Zero day" si riferisce al fatto che tali exploit sono sconosciuti agli sviluppatori del software interessato, e quindi non hanno avuto il tempo di sviluppare patch per risolverlo.
La scoperta, che coinvolge 14 di tali vulnerabilità, è stato realizzato dai ricercatori di Google a Project Zero, che va a caccia di falle di sicurezza nel software e nel firmware del microprocessore, indipendente dal produttore, che criminali, gli hacker sponsorizzati dallo stato e le agenzie di intelligence utilizzano.
"Questo dovrebbe servire da campanello d'allarme per la gente, " disse Will Strafach, un esperto di sicurezza mobile con Sudo Security. "Chiunque su qualsiasi piattaforma potrebbe essere infettato da malware."
Beer ha affermato che il suo team ha stimato che i siti Web infetti utilizzati negli "attacchi indiscriminati ai pozzi d'acqua" ricevono migliaia di visitatori a settimana. Ha detto che il team ha raccolto cinque catene separate di exploit che coprono il sistema iOS di Apple fin dalla versione 10, uscito nel 2016.
Apple non ha risposto alle richieste di commento sul motivo per cui non ha rilevato le vulnerabilità da sola e se può assicurare agli utenti che un attacco così generale non potrebbe ripetersi. La garanzia della privacy è fondamentale per il marchio Apple.
Né Google né Beer hanno risposto alle domande sugli aggressori o sugli obiettivi, anche se Beer ha fornito un suggerimento nel suo post sul blog:"Essere presi di mira potrebbe significare semplicemente essere nati in una certa regione geografica o far parte di un certo gruppo etnico".
Il responsabile della sicurezza Matt Lourens di Check Point Software Technologies ha definito lo sviluppo un allarmante punto di svolta. Ha detto che mentre i proprietari di iPhone precedentemente compromessi da zero giorni erano obiettivi di alto valore, ora è stato dimostrato possibile un seeding più diffuso di spyware a un costo per infezione inferiore.
"Questo dovrebbe assolutamente rimodellare il modo in cui le aziende vedono l'uso dei dispositivi mobili per le applicazioni aziendali, e il rischio per la sicurezza che introduce per l'individuo e/o l'organizzazione, "Lorens ha detto in una e-mail.
Nel suo post sul blog, il ricercatore di Google Beer ha avvertito che la sicurezza digitale assoluta non può essere garantita.
Gli utenti di smartphone devono in definitiva "essere consapevoli del fatto che esiste ancora lo sfruttamento di massa e comportarsi di conseguenza"; scrisse, "trattando i loro dispositivi mobili come parte integrante della loro vita moderna, ma anche come dispositivi che, una volta compromessi, possono caricare ogni loro azione in un database per essere potenzialmente utilizzata contro di loro."
© 2019 The Associated Press. Tutti i diritti riservati.
