Arrivato inaspettatamente un nuovo aggiornamento ai sistemi iOS per risolvere una vulnerabilità che stava mettendo a rischio la sicurezza degli utenti a livello mondiale.
Per intendersi, è come uno di quegli zero day su cui si è basato Pegasus (e forse proprio uno di quelli).
Vediamo di cosa si tratta e quali le ricadute.
Indice degli argomenti
Aggiornamenti inaspettati per iOS
Apple ha appena rilasciato, in maniera del tutto inaspettata, un aggiornamento per iPad, iPhone e Mac, precisamente iOS 14.7.1, iPadOS 14.7.1 e macOS Big Sur 11.5.1, quest’ultimo successivo al recentissimo macOS Big Sur 11.5, uscito solo la scorsa settimana. L’obiettivo è risolvere una vulnerabilità cosiddetta “zero-day” che permette agli hacker di agire liberamente “in the wild”, a livello mondiale. Parliamo della vulnerabilità CVE-2021-30807, che può consentire a un hacker di eseguire codice arbitrario con i privilegi del kernel, consentendogli essenzialmente di dirottare il dispositivo attaccato in maniera elementare.
Pegasus, intercettazioni e trojan di Stato: ecco perché nessuno smartphone è al sicuro
Vediamo cosa si legge nel resoconto di Apple: “Disponibile per: iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad di quinta generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione). Impatto: l’applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di un rapporto secondo cui questo problema è stato attivamente sfruttato. Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione della memoria. CVE-2021-30807: Ricercatore non identificato”.
Ancora non è stato chiarito chi sia il colpevole dell’attacco, ma da fonti anonime interne Apple, ci arriva la sensazione che ci sono alcuni notevoli e precisi sospetti. Sebbene sia molto probabile che questo “zero-day” sia un nuovo exploit utilizzato dalla comunità di jailbreak iOS per eseguire il root di iPhone, non è nemmeno chiaro se lo zero-day sia in qualche modo correlato a NSO Group, la società israeliana che vende strumenti di hacking iPhone per i governi di tutto il mondo, che di recente è stata al centro di un gran numero di rapporti di indagine che ha esposto alcune precedenti operazioni di hacking
Vulnerabilità “zero-day”, cos’è
Ci spiega bene cosa si intende per vulnerabilità zero-day la giornalista Nicole Perlroth, esperta di sicurezza informatica, nel suo libro “This is how they tell me the world ends. The Cyber weapons arms race”, uscito lo scorso febbraio.
In un semplice “zero-day” qualunque, un giorno zero, un hacker, attraverso un bug software, riesce a intrufolarsi in maniera discreta all’interno del tuo smartphone, a oltrepassare tutti i controlli di sicurezza di un impianto chimico, ad alterare i risultati di un’elezione politica, a chiudere una rete elettrica (vedi il caso dell’Ucraina) o ad attaccare impianti di trattamento dell’acqua (vedi quello recente di Oldsmar, in Florida, USA). Per molti anni, a causa di accordi di non divulgazione, gli agenti governativi statunitensi hanno pagato fior di quattrini agli hacker per mantenere il silenzio, poi hanno perso il controllo e ora questi famosi “zero-day” sono in mano a tutti
Apple sistema più sicuro al mondo? il caso Trezor
Ma come interpretare queste vicende?
Molti esperti, a seguito del caso Pegasus che ha colpito fortemente i sistemi Apple, hanno voluto smentire fortemente la tesi (vulgata) secondo cui i sistemi Apple sono più sicuri di Android/Windows.
Un altro esempio viene da una storia recente. Qualche mese fa, sullo store di applicazioni di Apple è apparsa un’app con il logo che richiamava il famoso wallet digitale di criptovalute Trezor, che offre solo soluzioni hardware e nessuna applicazione per smartphone e dispositivi mobili.
Phillipe Christodoulou, pensando che si trattasse realmente di un’applicazione associata a Trezor, recensita, tra l’altro, con cinque stelle, nel momento in cui ha deciso di scaricarla per verificare a quanti bitcoin ammontavano i suoi risparmi, una volta entrato con le sue credenziali e inserita la sua seed phrase di sicurezza, si è visto svanire in un attimo 17,1 bitcoin, equivalenti in quel momento a circa 600.000 dollari, oggi più di un milione di dollari.
La stessa Trezor aveva segnalato il problema, sia ad Apple che a Google, dichiarando ufficialmente che l’app era una truffa e non aveva alcuna relazione con SatoshiLabs e Trezor e che già erano partite segnalazioni al team di Google.
Gli esperti, nonostante si parli sempre di una maggiore sicurezza in merito ai device Apple, spiegano che non è così difficile hackerarli in realtà: una volta che un’applicazione viene approvata, i malintenzionati la trasformano successivamente in uno strumento di phishing per carpire i dati personali degli utenti.
Nel caso della finta app di Trezor è andata così, è stata approvata come app di crittografia dove salvare le proprie password e successivamente modificata in portafoglio di criptovaluta. Apple è consapevole di questa debolezza del proprio sistema ed elimina immediatamente le app che vengono segnalate come non sicure, il problema è il tempo che intercorre tra la pubblicazione dell’app e la sua rimozione ed è esattamente la trappola temporale in cui è caduto Phillipe Christodoulou. In quel lasso di tempo l’app è stata scaricata 1.000 volte su Android ed è rimasta disponibile sull’App Store per più di 10 giorni prima di essere rimossa.
Altro caso eclatante è accaduto a un cittadino americano che, dopo aver acquistato Ethereum e Bitcoin per 14.000 dollari, ha acquisito un wallet Trezor per assicurarsi il massimo livello di sicurezza, ma anche lui, dopo aver scaricato l’app incriminata, si è accorto di non avere più nulla in tasca.
Chi ci tutela? Se il sistema Apple è un’arma a doppio taglio
Siamo di fronte a una specie di beffa: i colossi della tecnologia, che prima degli stessi utenti, vengono presi in giro nel momento dell’approvazione delle applicazioni da inserire nei loro store.
Se un’app riesce a capire come superare indisturbata la fase di “sandbox”, va rivisto il modello di sicurezza. Il sandbox è l’ambiente di prova estraneo rispetto agli ambienti che fanno parte del flusso di sviluppo di un’applicazione o di una sua modifica (development environment, l’ambiente di sviluppo; test environment, ambiente test; quality environment, ambiente di qualità; live environment o production environment, ambinetye di produzione). Nel sandbox si effettuano sperimentazioni che potrebbero non portare neppure ad aprire una fase di sviluppo, per cui serve ad investigare sugli effetti di eventuali modifiche o sviluppi ancora nella fase di “studio della fattibilità” o di “analisi costi-benefici”.
Alcuni esperti, a valle del caso Pegasus, hanno notato come la chiusura Apple è un’arma a doppio taglio. Una volta che qualcuno entra nella sandbox è impossibile per l’utente scoprire che il dispositivo è stato compromesso. La scarsa trasparenza a quel punto gioca a favore dell’attaccante.
Migliorare il sistema bug bounty
Non solo. Per cercare di contenere la diffusione di bug e stroncarli sul nascere, da un po’ di tempo viene adottato il modello chiamato “bug bounty”, già avviati da Facebook, Yahoo!, Google, Reddit, Square, Oracle Corporation e NordVPN. Si tratta di un accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.
Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto.
Ma sempre per la logica della security by obscurity è un modello ancora estraneo ad Apple.
Non che con gli altri vada molto meglio. Di solito le cifre dei bounty sono piuttosto ridicole, ad esempio un exploit simile a quello che la società israeliana NSO Group ha utilizzato, richiederebbe una ricompensa di circa 250.000 dollari, che coprirebbe a malapena il costo degli stipendi del team che ha lavorato per scovarlo, per non parlare della possibilità di battere la concorrenza, che vuole la stessa vulnerabilità per scopi più oscuri.
iOS 14 e sicurezza
iOS 14 è il sistema operativo mobile che è stato lanciato da Apple lo scorso autunno e che, prima di essere reso pubblico, è stato accuratamente analizzato, come peraltro accade prima di ogni nuovo lancio.
Tra le novità, un aggiornamento del portachiavi iCloud, all’interno del quale vengono salvate tutte le nostre password che quotidianamente utilizziamo per accedere ad app e siti web, sincronizzate con ogni dispositivo Apple che utilizziamo con lo stesso account personale. In iOS 14 e iPadOS 14 è presente la voce “Security Recommendations”, menù in cui vengono raccolte unicamente le password “potenzialmente esposte”/apparse in un data breach/a rischio, ad esempio quelle costituite da una sequenza troppo semplice o facilmente intuibile. Uno dei tanti esempi di quanto la società di Cupertino miri a tutelare la sicurezza dei dati dei suoi utenti. Nonostante questo, però, iOS non resta incolume da attacchi hacker: molte applicazioni presenti in Apple Store possono ingannare.
