APPLEGEDDON
Un (grosso) attaccante infettava iPhone in massa
Un attaccante ha sfruttato 14 vulnerabilità di iOS per entrare nei
dispositivi iPhone e iPad e sottrarre foto, email, credenziali di login,
messaggi salvati in Whatsapp, iMessage, e Telegram. Lo ha fatto in una
campagna di due anni, tra settembre 2016 (iOS 10.0.1) e lo scorso
dicembre (iOS 12.1.2). Lo ha fatto attraverso dei siti hackerati.
Bastava che l’utente li visitasse. “I siti hackerati sono stati usati in
attacchi watering hole indiscriminati”, hanno scritto i ricercatori di
Project Zero, la squadra di Google che caccia vulnerabilità ancora
sconosciute (i cosiddetti zero-days). Un attacco di watering hole usa un
sito per infettare i dispositivi dei suoi visitatori, e viene spesso
usato contro gruppi, entità o comunità specifiche che si presume
visitino o possano essere indotte a visitare un certo sito. Non c’era
una scelta del target, proseguono i ricercatori. “Solo visitare un sito
hackerato era abbastanza per il server exploit per attaccare il
dispositivo e se l’attacco riusciva installava un impianto di
monitoraggio. Stimiamo che questi siti ricevano migliaia di visitatori
per settimana”.
La notizia è stata una bomba nei circoli di sicurezza informatica. Fino
ad oggi si erano visti soprattutto attacchi mirati a utenti iPhone, è la
prima volta che emerge una campagna di massa, indiscriminata (ma
probabilmente mirata come tipologia di target), condotta attraverso siti
infetti, che usa tutte queste vulnerabilità, alcune anche zero-day, e
catene di exploit, di attacchi, necessarie per aprirsi progressivamente
la strada sul dispositivo, il cui prezzo sul mercato per un iPhone
aggiornato arriva fino almeno a 3 milioni di dollari, nota Vice.
Se i bug, le vulnerabilità sfruttate erano di pregio, altri aspetti
dell’operazione - oltre alla non discriminazione delle vittime -
lasciano dubbiosi i ricercatori: l’infezione non era persistente,
bastava un riavvio per eliminarla (anche se all’attaccante restavano le
credenziali per accedere agli account della vittima); il malware non
sembrava voler nascondere i propri processi, usava canali HTTP non
cifrati per inviare quanto esfiltrato dai dispositivi. In ogni caso,
tutti concordano sul fatto che sia un brutto colpo per l’immagine di iOS
come sistema molto sicuro. Una notizia “terrificante”, secondi alcuni
esperti.
“La non persistenza non mi preoccupa, quasi non serve”, spiega a Guerre
di Rete Alberto Pelliccione, Ceo della società di cybersicurezza ReaQta
e analista di malware di lungo corso. “L’impianto carica tutto inclusi i
long term cookie, quindi hai accesso alla vita intera della vittima e se
proprio dovessi aver bisogno di ri-exploitarla (infettarla di nuovo,
ndr) , non sarebbe un problema a quel punto”. Tra l’altro molti utenti,
specie chi lo usa come sveglia, spengono raramente gli iPhone, specifica
Pelliccione. Che prosegue:“La notizia ci dà un segnale importante: le
iOS chain (le catene di exploit, attacchi per infettare un iPhone, ndr)
non sono cosi rare come si vorrebbe far credere, la qualità della
verifica del codice fatta da Apple lascia un po' a desiderare, alcuni
bug exploitati (sfruttati per fare un attacco, ndr) non ha senso che non
siano usciti fuori in fase di test. Il fatto che iOS non sia
ispezionabile in nessun modo ha dato una mano non da poco agli
attaccanti che infatti non si sono preoccupati di far alcun meccanismo
di hiding (cioè di nascondere quello che facevano, come dicevamo sopra,
ndr).” Insomma, “certamente iOS è ben fatto, ma non è invulnerabile, e
non dare la possibilità di analizzare i dispositivi agli utenti non solo
aumenta la percezione della sicurezza dei dispositivi ma finisce col
fare il gioco dell'attaccante che non deve neanche preoccuparsi di fare
impianti sofisticati, al di là dell'exploit iniziale”.
Apple ha chiuso le vulnerabilità a febbraio, giorni dopo che Google l’ha
avvisata in privato. Tuttavia ora Google è stata criticata per aver
scelto di non pubblicare la lista di siti malevoli. Ma una indicazione
importante arriva da TechCrunch: secondo la testata i siti prendevano di
mira musulmani della minoranza etnica uigura, che come sappiamo è
oggetto di controllo e repressione da parte del governo cinese. Ma anche
utenti non uiguri potrebbero avere avuto accesso a questi siti dato che
erano indicizzati da Google (tanto che l’Fbi ha chiesto a Google di
rimuoverli dall’indicizzazione).
da: Guerre di Rete di Carola Frediani
--
"Faccio un lavoro che di fatto non è un lavoro, direi che è un modo di
vivere" L. Bertell
"tecnologie appropriate"
GPG keys available on keyserver
https://pgp.mit.edu/
Ox 44CC 163A
Fingerprint: 946A 499A E30B 78B6 BAE1 F5B8 A03A 5077 44CC 163A