Apple, fix iOS per uno zero day: ma per smartphone sicuri bisogna fare di più - Cyber Security 360

update di sicurezza

Apple, fix iOS per uno zero day: ma per smartphone sicuri bisogna fare di più

Spunta un aggiornamento ai sistemi iOS per risolvere una vulnerabilità che stava mettendo a rischio la sicurezza degli utenti a livello mondiale. Per uno zero day come quello di Pegasus (e forse proprio uno di quelli). Però non basta: il modello della cybersecurity dei colossi, Apple in testa, è da rivedere. Ecco perché

28 Lug 2021
S
Marco Santarelli

Esperto in Network Analysis, Critical Infrastructures, Big Data and Future Energies

Arrivato inaspettatamente un nuovo aggiornamento ai sistemi iOS per risolvere una vulnerabilità che stava mettendo a rischio la sicurezza degli utenti a livello mondiale.

Per intendersi, è come uno di quegli zero day su cui si è basato Pegasus (e forse proprio uno di quelli).

Vediamo di cosa si tratta e quali le ricadute. 

Aggiornamenti inaspettati per iOS

Apple ha appena rilasciato, in maniera del tutto inaspettata, un aggiornamento per iPad, iPhone e Mac, precisamente iOS 14.7.1, iPadOS 14.7.1 e macOS Big Sur 11.5.1, quest’ultimo successivo al recentissimo macOS Big Sur 11.5, uscito solo la scorsa settimana. L’obiettivo è risolvere una vulnerabilità cosiddetta “zero-day” che permette agli hacker di agire liberamente “in the wild”, a livello mondiale. Parliamo della vulnerabilità CVE-2021-30807, che può consentire a un hacker di eseguire codice arbitrario con i privilegi del kernel, consentendogli essenzialmente di dirottare il dispositivo attaccato in maniera elementare.

Pegasus, intercettazioni e trojan di Stato: ecco perché nessuno smartphone è al sicuro

Vediamo cosa si legge nel resoconto di Apple: “Disponibile per: iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad di quinta generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione). Impatto: l’applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di un rapporto secondo cui questo problema è stato attivamente sfruttato. Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione della memoria. CVE-2021-30807: Ricercatore non identificato”. 

Ancora non è stato chiarito chi sia il colpevole dell’attacco, ma da fonti anonime interne Apple, ci arriva la sensazione che ci sono alcuni notevoli e precisi sospetti. Sebbene sia molto probabile che questo “zero-day” sia un nuovo exploit utilizzato dalla comunità di jailbreak iOS per eseguire il root di iPhone, non è nemmeno chiaro se lo zero-day sia in qualche modo correlato a NSO Group, la società israeliana che vende strumenti di hacking iPhone per i governi di tutto il mondo, che di recente è stata al centro di un gran numero di rapporti di indagine che ha esposto alcune precedenti operazioni di hacking

https://www.cybersecurity360.it/nuove-minacce/pegasus-intercettazioni-e-trojan-di-stato-ecco-perche-nessuno-smartphone-e-al-sicuro/

https://www.agendadigitale.eu/sicurezza/cyber-war-siamo-davvero-vicini-al-punto-di-non-ritorno-gli-scenari/

Apple sistema più sicuro al mondo? il caso Trezor

Ma come interpretare queste vicende?

Molti esperti, a seguito del caso Pegasus che ha colpito fortemente i sistemi Apple, hanno voluto smentire fortemente la tesi (vulgata) secondo cui i sistemi Apple sono più sicuri di Android/Windows.

Un altro esempio viene da una storia recente. Qualche mese fa, sullo store di applicazioni di Apple è apparsa un’app con il logo che richiamava il famoso wallet digitale di criptovalute Trezor, che offre solo soluzioni hardware e nessuna applicazione per smartphone e dispositivi mobili. 

Phillipe Christodoulou, pensando che si trattasse realmente di un’applicazione associata a Trezor, recensita, tra l’altro,  con cinque stelle, nel momento in cui ha deciso di scaricarla per verificare a quanti bitcoin ammontavano i suoi risparmi, una volta entrato con le sue credenziali e inserita la sua seed phrase di sicurezza, si è visto svanire in un attimo 17,1 bitcoin, equivalenti in quel momento a circa 600.000 dollari, oggi più di un milione di dollari.

La stessa Trezor aveva segnalato il problema, sia ad Apple che a Google, dichiarando ufficialmente che l’app era una truffa e non aveva alcuna relazione con SatoshiLabs e Trezor e che già erano partite segnalazioni al team di Google.

Gli esperti, nonostante si parli sempre di una maggiore sicurezza in merito ai device Apple, spiegano che non è così difficile hackerarli in realtà: una volta che un’applicazione viene approvata, i malintenzionati la trasformano successivamente in uno strumento di phishing per carpire i dati personali degli utenti.

Nel caso della finta app di Trezor è andata così, è stata approvata come app di crittografia dove salvare le proprie password e successivamente modificata in portafoglio di criptovaluta. Apple è consapevole di questa debolezza del proprio sistema ed elimina immediatamente le app che vengono segnalate come non sicure, il problema è il tempo che intercorre tra la pubblicazione dell’app e la sua rimozione ed è esattamente la trappola temporale in cui è caduto Phillipe Christodoulou. In quel lasso di tempo l’app è stata scaricata 1.000 volte su Android ed è rimasta disponibile sull’App Store per più di 10 giorni prima di essere rimossa.

Altro caso eclatante è accaduto a un cittadino americano che, dopo aver acquistato Ethereum e Bitcoin per 14.000 dollari, ha acquisito un wallet Trezor per assicurarsi il massimo livello di sicurezza, ma anche lui, dopo aver scaricato l’app incriminata, si è accorto di non avere più nulla in tasca.

Chi ci tutela? Se il sistema Apple è un’arma a doppio taglio

Siamo di fronte a una specie di beffa: i colossi della tecnologia, che prima degli stessi utenti, vengono presi in giro nel momento dell’approvazione delle applicazioni da inserire nei loro store. 

Se un’app riesce a capire come superare indisturbata la fase di “sandbox”, va rivisto il modello di sicurezza. Il sandbox è l’ambiente di prova estraneo rispetto agli ambienti che fanno parte del flusso di sviluppo di un’applicazione o di una sua modifica (development environment, l’ambiente di sviluppo; test environment, ambiente test; quality environment, ambiente di qualità; live environment o production environment, ambinetye di produzione). Nel sandbox si effettuano sperimentazioni che potrebbero non portare neppure ad aprire una fase di sviluppo, per cui serve ad investigare sugli effetti di eventuali modifiche o sviluppi ancora nella fase di “studio della fattibilità” o di “analisi costi-benefici”.

Alcuni esperti, a valle del caso Pegasus, hanno notato come la chiusura Apple è un’arma a doppio taglio. Una volta che qualcuno entra nella sandbox è impossibile per l’utente scoprire che il dispositivo è stato compromesso. La scarsa trasparenza a quel punto gioca a favore dell’attaccante.

Migliorare il sistema bug bounty

Non solo. Per cercare di contenere la diffusione di bug e stroncarli sul nascere, da un po’ di tempo viene adottato il modello chiamato “bug bounty”, già avviati da Facebook, Yahoo!, Google, Reddit, Square, Oracle Corporation e NordVPN. Si tratta di un accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.

Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto.

Ma sempre per la logica della security by obscurity è un modello ancora estraneo ad Apple.

Non che con gli altri vada molto meglio. Di solito le cifre dei bounty sono piuttosto ridicole, ad esempio un exploit simile a quello che la società israeliana NSO Group ha utilizzato, richiederebbe una ricompensa di circa 250.000 dollari, che coprirebbe a malapena il costo degli stipendi del team che ha lavorato per scovarlo, per non parlare della possibilità di battere la concorrenza, che vuole la stessa vulnerabilità per scopi più oscuri.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5