Apple ha trascorso la scorsa settimana affrettandosi a sviluppare una soluzione per un grave difetto di sicurezza che consente di scaricare spyware su un iPhone o iPad senza che il proprietario faccia nemmeno clic su un pulsante.

Ma come funzionano questi attacchi "zero clic" e possono essere fermati?

Cos'è un hack "zero clic"?

Il software di spionaggio si basa tradizionalmente sul convincere la persona presa di mira a fare clic su un collegamento o un file esplosivo per installarsi sul proprio telefono, tablet o computer.

"Il clic zero porta questa minaccia al livello successivo", ha affermato John Scott-Railton, ricercatore senior presso Citizen Lab, il centro di sicurezza informatica dell'Università di Toronto che ha scoperto il difetto di Apple.

Con un attacco senza clic, il software può intrufolarsi nel dispositivo senza che la persona debba essere indotta a fare clic sul collegamento.

Ciò garantisce alle potenziali spie un accesso molto più semplice, non ultimo in un'era in cui le persone sono diventate sempre più diffidenti nel fare clic su messaggi dall'aspetto sospetto.

In questo caso, il malware ha sfruttato un buco nel software iMessage di Apple per installare di nascosto Pegasus, un software estremamente invasivo che essenzialmente trasforma un telefono in un dispositivo di ascolto tascabile.

Le accuse secondo cui il software è stato utilizzato dai governi di tutto il mondo per intercettare attivisti per i diritti umani, dirigenti aziendali e politici hanno scatenato uno scandalo globale a luglio.

Saprò se il mio telefono è infetto?

Una risposta semplice:"No", ha detto Scott-Railton.

"Non c'è niente che tu possa fare come utente per proteggerti dalle infezioni e niente che vedrai quando sarai infetto", ha detto all'AFP.

Questo è in parte il motivo per cui Apple ha preso la minaccia così seriamente, ha affermato.

Scott-Railton ha esortato gli utenti Apple a installare l'aggiornamento software rilasciato lunedì dal gigante della tecnologia.

Apple ha annunciato una soluzione per il problema poco meno di una settimana dopo che Citizen Lab lo ha segnalato il 7 settembre.

Una correzione di questa velocità è "una rarità, anche per una grande azienda", ha detto Scott-Railton.

Perché le app di messaggistica sono così vulnerabili?

Le rivelazioni del difetto di iMessage di Apple arrivano dopo che il servizio di messaggistica WhatsApp ha scoperto nel 2019 che anche lui aveva una vulnerabilità zero-click che veniva utilizzata per installare Pegasus sui telefoni.

Scott-Railton ha affermato che l'ubiquità di tali app significava che non sorprendeva che il gruppo NSO, la società israeliana colpita dallo scandalo dietro Pegasus, le avesse utilizzate per intrufolarsi nei dispositivi delle persone.

"Se trovi un telefono, ci sono buone probabilità che ci sia un'app di messaggistica popolare su di esso", ha spiegato.

"Trovare un modo per infettare i telefoni tramite le app di messaggistica è un modo semplice e veloce per ottenere ciò che desideri."

Il fatto che le app di messaggistica consentano di identificare le persone con i loro numeri di telefono, che sono facilmente individuabili, "significa anche che esiste un obiettivo enorme sia per gli stati-nazione che per le operazioni di hacking mercenario commerciale come NSO", ha affermato.

È possibile fermare tali hack?

Vivien Raoul, direttore tecnico dell'azienda francese di sicurezza informatica Pradeo, ha affermato che la scoperta del difetto di iMessage è stato "un buon inizio per ridurre le porte di ingresso, ma purtroppo non è sufficiente per fermare Pegasus".

I creatori di malware possono semplicemente cercare altri punti deboli nelle app ampiamente utilizzate, che inevitabilmente includono difetti di volta in volta dovuti alla loro complessità, affermano gli esperti.

Il sistema operativo mobile di Google Android e iOS di Apple "correggono regolarmente un gran numero di vulnerabilità", ha affermato Raoul.

NSO, le cui reclute includono ex membri d'élite dell'intelligence militare israeliana, ha risorse proprie formidabili da investire nella caccia ai punti deboli, mentre gli hacker vendono anche l'accesso ad essi sul dark web.