zero-click

Gli attacchi zero-click sono minacce informatiche che non richiedono alcuna interazione da parte degli utenti per essere attivate. A differenza degli exploit tradizionali, il codice dannoso viene eseguito in modo autonomo senza che l'utente debba scaricare un file malevolo o cliccare su un link pericoloso. Questi attacchi sfruttano le vulnerabilità delle applicazioni che gestiscono dati provenienti da fonti potenzialmente non attendibili, come piattaforme SMS, app di posta elettronica e messaggistica istantanea. La loro natura subdola li rende particolarmente pericolosi perché lasciano poche tracce e possono ingannare anche gli utenti più esperti.

FAQ generata da AI

Gli exploit zero-click funzionano sfruttando vulnerabilità nelle applicazioni che processano dati da fonti esterne. Gli attaccanti spesso utilizzano immagini o messaggi di testo come strumenti per inoculare codice malevolo nei dispositivi delle vittime. Una volta eseguito, questo codice può compromettere completamente il dispositivo, permettendo agli aggressori di accedere a email, messaggi SMS, chat, foto, video, dati GPS, agenda e contatti. Inoltre, possono registrare telefonate e attivare a distanza videocamera e microfono. Poiché il malware agisce senza che l'utente noti alcun comportamento anomalo, questi attacchi possono sfuggire anche agli utenti più esperti.

FAQ generata da AI

Tra gli esempi più noti di attacchi zero-click troviamo lo spyware Karma, utilizzato nel 2016 per violare iPhone di attivisti, leader politici e diplomatici. Nel 2023, è stato individuato lo spyware Pegasus su iPhone, anch'esso diffuso tramite un exploit zero-click. Più recentemente, è emerso BlastPass, una catena di exploit che può agire senza intervento dell'utente per attivare componenti malevole e infettare i dispositivi con lo spyware Pegasus. Anche WhatsApp è stato colpito da vulnerabilità zero-click che hanno permesso di spiare utenti iPhone, macOS e Android.

FAQ generata da AI

Gli attacchi zero-click rappresentano una minaccia sia per i dispositivi Android che iOS. Nel caso di BlastPass, le vulnerabilità hanno colpito iPhone con iOS 16.6 e tutti i dispositivi Apple come iPhone, iPad, iPod touch, Mac con processori Intel e Apple Silicon, e Apple Vision Pro. Anche applicazioni desktop come Telegram per Windows sono state oggetto di vulnerabilità che potevano essere sfruttate per eludere avvisi di sicurezza e avviare automaticamente script potenzialmente dannosi.

FAQ generata da AI

Per proteggersi dagli attacchi zero-click, è fondamentale mantenere sempre aggiornati i propri dispositivi con le ultime patch di sicurezza rilasciate dai produttori. È consigliabile installare e mantenere aggiornato un software antivirus affidabile, anche sui dispositivi mobili. Per le persone esposte a rischi maggiori a causa dei ruoli che ricoprono, è raccomandato utilizzare due dispositivi diversi, uno dei quali destinato esclusivamente alle comunicazioni sensibili. Apple ha introdotto la modalità Lockdown che limita le funzionalità del dispositivo ma blocca efficacemente molti vettori di attacco, inclusi gli allegati potenzialmente pericolosi.

FAQ generata da AI

Gli attacchi zero-click sono particolarmente pericolosi per diversi motivi. Innanzitutto, non richiedono alcuna interazione da parte dell'utente, rendendo inefficaci le tradizionali strategie di sicurezza basate sulla consapevolezza e formazione degli utenti. Inoltre, lasciano poche tracce digitali, complicando notevolmente le attività di rilevamento. Hanno un grado di successo elevatissimo e consentono di inoculare malware sofisticati che possono garantire un controllo completo sul dispositivo e sui dati dell'utente. Questi attacchi possono ingannare anche gli utenti più esperti, poiché il codice malevolo agisce in modo invisibile senza che si notino comportamenti anomali del dispositivo.

FAQ generata da AI

Gli attacchi zero-click sollevano importanti questioni etiche e legali, soprattutto quando vengono utilizzati per sorvegliare giornalisti e attivisti. L'intercettazione di giornalisti tramite spyware è contraria al principio di libertà di stampa, tutelato costituzionalmente, e vietata dalla legge. Il Media Freedom Act, regolamento europeo sui media, sancisce il divieto di intercettare i giornalisti con software di sorveglianza intrusivi, salvo casi di estrema gravità. Inoltre, viene compromesso il principio di tutela delle fonti, fondamentale per la libertà di stampa. Anche nel caso degli attivisti, l'utilizzo di tecnologie di sorveglianza invasive può configurarsi come forma di pressione per dissuaderli dal loro ruolo a tutela dei diritti.

FAQ generata da AI

Diverse aziende sono coinvolte nello sviluppo di tecnologie che sfruttano vulnerabilità zero-click. Tra queste, NSO Group, azienda israeliana nota per lo spyware Pegasus, e Paragon Solutions, un'altra società israeliana che ha sviluppato il software di sorveglianza Graphite, presentandosi come un'alternativa "eticamente responsabile". Zerodium è un'azienda che offre ricompense fino a 1 milione di dollari per gli exploit WhatsApp e fino a 2,5 milioni di dollari per gli exploit zero-click sia per Android che per iOS, dimostrando quanto queste vulnerabilità siano preziose nel mercato della sicurezza informatica.

FAQ generata da AI

Recentemente sono emersi diversi casi di spionaggio tramite attacchi zero-click. In Italia, sono state trovate prove dell'utilizzo dello spyware Graphite di Paragon su smartphone Android appartenenti a Luca Casarini di Mediterranea Saving Humans, al direttore di Fanpage Francesco Cancellato e a Beppe Caccia, armatore di Mediterranea. L'analisi forense ha individuato segni dell'inserimento del malware all'interno di WhatsApp e altre applicazioni. Inoltre, WhatsApp ha dichiarato che Paragon Solutions ha preso di mira circa 90 utenti, tra cui giornalisti e attivisti, con una campagna spyware. Secondo il rapporto del Citizen Lab, questi 90 casi potrebbero essere solo una frazione del numero totale di persone spiate.

FAQ generata da AI