NUOVE MINACCE

NoReboot: ecco come un trojan può spiare l’iPhone da spento

È stata scoperta una nuova tecnica di attacco ribattezzata NoReboot che consente di spiare gli utenti iPhone usando la fotocamera e il microfono: per metterla in pratica non viene sfruttata alcuna vulnerabilità di iOS e quindi non esiste alcuna patch per prevenirla. Ecco tutti i dettagli e i consigli per mitigare il rischio

10 Gen 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Utilizzare la fotocamera frontale e il microfono dell’iPhone per spiare gli ignari utenti: è quello che è possibile fare mettendo in pratica la tecnica di attacco ribattezzata NoReboot che consente di simulare lo spegnimento o il riavvio dell’iPhone.

La tecnica, sviluppata dai ricercatori della società di sicurezza mobile ZecOps, è descritta come un metodo di persistenza per aggirare la normale pratica di riavviare un dispositivo per cancellare le attività dannose dalla memoria.

Il Proof-of-Concept pubblicato dai ricercatori mostra chiaramente come l’utilizzo della tecnica NoReboot non solo può creare l’illusione di un arresto dell’iPhone per indurre gli utenti a pensare che il dispositivo sia stato riavviato, ma consente anche agli attaccanti di iniettare un malware per forzare l’apertura del front-end dell’iPhone. Il contenuto delle chiamate e le immagini/video degli utenti iPhone vengono quindi monitorati tramite la fotocamera e il microfono e l’utente verrà tracciato a sua insaputa in quanto l’attivazione della videocamera e del microfono non sarà visibile sulla barra di stato di iOS.

Così ci spiano sull’iPhone

Sebbene NoReboot non sia un vero e proprio malware, gli attori delle minacce potrebbero sfruttare la tecnica per iniettare codice malevolo nel sistema con lo scopo di controllare alcuni servizi in background di iOS (InCallService, SpringBoard e BackBoard), dirottare il controllo del meccanismo di riavvio dell’iPhone e ottenere la simulazione dello spegnimento con il camuffamento della schermata di avvio: in questo modo, la vittima verrebbe indotta a credere che il dispositivo sia stato realmente riavviato.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

In particolare, quando un utente prova a riavviare l’iPhone, il codice malevolo iniettato dall’attaccante forza i servizi SpringBoard e BackBoard facendo sembrare che il dispositivo sia stato spento disabilitando tutti i feedback fisici, incluso lo schermo, i suoni, la vibrazione, l’indicatore della fotocamera e il feedback del tocco.

Quindi, per evitare di insospettire la vittima, l’attaccante può anche visualizzare a video l’animazione di avvio del sistema per simulare il riavvio dell’iPhone.

ZecOps ha affermato che quando un dispositivo iOS viene attaccato da NoReboot, fintanto che rimarrà connesso a Internet, continuerà a essere monitorato da remoto da chi l’ha preso di mira. La fotocamera e il microfono possono essere accesi in qualsiasi momento, consentendo a questi utenti di origliare conversazioni senza autorizzazione, nonché visualizzare immagini dalla fotocamera.

Vale la pena notare che i ricercatori di ZecOps hanno messo a punto questo processo di attacco senza sfruttare alcuna vulnerabilità di iOS, il che significa anche che Apple non può utilizzare il metodo di patching del sistema operativo dell’iPhone per prevenire NoReboot, che potrà influenzare il melafonino a prescindere dalla versione installata, rendendolo così un ottimo target per i criminal hacker.

Come difendersi da NoReboot

Per quanto ancora non sia stato rilevato alcun caso di sfruttamento di questa nuova tecnica di attacco, potrebbe essere solo questione di tempo.

Per gli utenti consumer, consigliamo le seguenti buone pratiche, utili a mitigare attacchi NoReboot:

  1. scaricare e installare app solo tramite il canale App Store: è fortemene sconsigliato scaricarle da piattaforme di terze parti o pagine web sconosciute;
  2. evitare il jailbreak del dispositivo: gli utenti malintenzionati inseriranno il codice dannoso NoReboot nel plug-in per jailbreak, quindi lo rilasceranno tramite fonti software illegali o installeranno IPA piratate illegalmente, che saranno soggetti quindi anche all’infezione da NoReboot. I dispositivi jailbroken di base sono i più vulnerabili al monitoraggio o al furto di dati (proprio perché permettono agli utenti l’installazione di app anche da fonti terze all’App Store Apple);

Se invece si vuole sapere se il proprio dispositivo iPhone è stato attaccato da NoReboot, si può prontamente controllare che venga visualizzata la schermata di sblocco o il PIN della scheda SIM (ovviamente avendone preventivamente impostato uno, sia di PIN sblocco che di SIM) dopo che l’iPhone è stato spento e riavviato: qualora questo non avvenisse, presumibilmente si può parlare di infezione da NoReboot.

In questo caso si consiglia un nuovo flashing di iOS con ripristino ai dati di fabbrica, cancellando definitivamente la presenza di NoReboot e garantendo così la sicurezza del sistema.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3