Aggiornare spesso, il vostro iPhone è vulnerabile a spyware

by checkblacklist · Published 26 Agosto 2016 · Updated 26 Agosto 2016

Se ieri vi siete precipitati ad aggiornare il vostro iPhone (se non lo avete fatto, ora è il momento, andando su Impostazioni > Generali > Aggiornamento software), lo dovete ad Ahmed Mansoor, un attivista dei diritti umani degli Emirati Arabi Uniti che pochi giorni fa è stato attaccato con un malware, un software malevolo, in grado di violare un iPhone da remoto, senza che su questo fosse stato fatto precedentemente un jailbreak, cioè una procedura che aggira i suoi sistemi di sicurezza per installare software non autorizzati da Apple. Dunque si tratta del più insidioso, sofisticato e costoso degli attacchi.

Tutta la storia di Mansoor è quasi incredibile perché negli anni questo ingegnere e blogger degli Emirati, noto difensore dei diritti umani al punto da aver ricevuto importanti riconoscimenti internazionali, è stato attaccato da innumerevoli spyware, software spia, di almeno tre diverse società; perché quest’ultimo attacco sfrutta una catena di ben tre vulnerabilità fino a ieri sconosciute (in gergo, zero-days) dei telefoni Apple, al punto che ieri l’azienda di Cupertino è corsa a rilasciare un importante e urgente aggiornamento di sicurezza; e perché simili vulnerabilità nei mesi scorsi sul mercato degli attacchi informatici erano valutate intorno a 1 milione di dollari.

Non solo: l’episodio porta alla ribalta una società di spyware poco nota, l’israeliana-statunitense NSO Group, confermando voci di corridoio sulle sue capacità di attaccare da remoto perfino gli iPhone, considerati da gran parte degli esperti di sicurezza come i telefoni più sicuri. Ma su questo ci torniamo dopo.

IL DISSIDENTE DA TRE SPYWARE E 1 MILIONE DI DOLLARI

Veniamo alla storia. Il 10 e l’11 agosto scorsi Ahmed Mansoor – noto attivista critico verso le politiche del governo degli Emirati, da anni colpito da vari tentativi di sorveglianza oltre che molestato più volte e arrestato per alcuni mesi nel 2011, attualmente impossibilitato a lasciare il Paese malgrado ancora lo scorso ottobre abbia ricevuto da Amnesty International un premio come difensore dei diritti umani – riceve sul suo iPhone due Sms che promettono rivelazioni sui detenuti torturati nel Paese e un link. L’uomo, insospettito, gira i messaggi al Citizen Lab, un laboratorio sulla sorveglianza dell’università di Toronto che – insieme a un’altra società di cybersicurezza, Lookout Security – analizza i link, scoprendo che portavano a una catena di tre exploit zero-days, cioè di codici di attacco molto pregiati perché sfruttano vulnerabilità del software ancora sconosciute se non agli attaccanti (per cui ci sono stati “zero giorni” a disposizione dei produttori per chiudere le falle). I ricercatori hanno quindi avvisato Apple che si è mossa velocemente e ieri ha rattoppato le tre vulnerabilità con l’aggiornamento iOS 9.3.5, in concomitanza con la pubblicazione della ricerca.

L’ATTACCO SU IPHONE

Il trio di attacchi – che i ricercatori hanno soprannominato Trident e che hanno svelato ieri in un report – avrebbe fatto un jailbreak da remoto dell’iPhone 6 di Mansoor e installato un sofisticato spyware per sorvegliare l’attività dell’uomo, dalle telefonate WhatsApp e Viber alle chat, dall’uso silente del microfono e della videocamera del dispositivo alla sua geolocalizzazione. I ricercatori di Citizen Lab ritengono che sia la prima volta che un attacco di questo tipo, con jailbreak da remoto, su un iPhone sia stato scoperto nel mondo reale come parte di una campagna mirata. Inoltre hanno ricondotto il malware e i link a una infrastruttura di server e a una suite di software spia di nome Pegasus connesse a NSO Group, un’azienda di origine israeliana, acquisita nel 2014 da una società di private equity americana, Francisco Partners Management, e valutata quasi un 1 miliardo di dollari. La portata e il costo dell’attacco, il coinvolgimento di NSO che venderebbe solo a Stati e il tipo di vittima fanno concludere ai ricercatori che dietro l’azione ci possa essere il governo degli Emirati Arabi Uniti.

IL COMMENTO DI MANSOOR

“Mi hanno mandato molti spyware diversi in questi anni e una volta hanno anche intercettato i codici di verifica via Sms per entrare nel mio account di posta Gmail, per cui diciamo che sono un utente più attento della media ora”, ha commentato ieri a La Stampa Ahmed Mansoor, raggiunto al telefono non lontano da Dubai. “Così quando ho visto quei messaggi mi sono insospettito e li ho girati a Citizen Lab. Perché continuano a prendermi di mira? Forse perché malgrado le intimidazioni non mi sono mai fermato con le mie attività sui diritti umani ed ho molte connessioni internazionali”.

Mansoor è stato oggetto di molti attacchi informatici. Nel marzo 2011 gli era stato inviato uno spyware nascosto in un finto pdf che i ricercatori di Citizen Lab allora attribuirono all’azienda FinFisher; nell’aprile dello stesso anno è stato imprigionato insieme ad altri attivisti per insulti ai governanti e poi “perdonato” a novembre 2011. Nel luglio 2012 è stato invece infettato da uno spyware – attraverso un documento Word – che Citizen Lab attribuì all’azienda italiana Hacking Team.

Ora, in una sorta di tripletta della sorveglianza, sarebbe la volta dello spyware di NSO Group, dice il report dei ricercatori. Nelle scarne dichiarazioni rilasciate ai media, l’azienda dice di vendere solo a agenzie governative autorizzate e di seguire le leggi sulle esportazioni.

NSO: BASSO PROFILO, ATTORE EMERGENTE

Ma cosa sappiamo di questa società? Nasce nel 2010 a Tel Aviv, e due dei suoi cofondatori, Omri Lavie e Shalev Hulio, sono ritenuti ex membri dell’unit 8200, una unità dell’esercito israeliano specializzata in intelligence elettronica – una omologa dell’americana Nsa – che ha sfornato molti imprenditori tech. Con quartier generale a Herzelia, Israele, NSO Group sviluppa un software di sorveglianza per dispositivi mobili, Pegasus, che vende ai governi per le loro indagini. Si autodescrive come leader nella “cyber guerriglia cellulare e mobile” e ha sempre mantenuto, al contrario di altre aziende del settore, un profilo molto basso, al punto da non avere nemmeno un sito web. Nel 2014 è stata in parte acquisita dal fondo statunitense Francisco Partners Management, dopo l’ok del ministero della Difesa israeliano. Paradossalmente, è il leak dei documenti di Hacking Team avvenuto la scorsa estate che ci permette di avere qualche informazione in più sulla sua concorrente.

Secondo alcune brochure finite online nel leak, almeno fino a un paio di anni fa NSO Group offriva due vettori di installazione di spyware da remoto su un telefonino: un vettore a zero click, che userebbe uno speciale Sms che apre un link automaticamente (via messaggi WAP push); e uno che prevede invece un clic da parte dell’utente (come accaduto nel caso di Mansoor). Come avveniva già per Hacking Team e FinFisher, anche NSO Group usa una rete di proxy nascosti, cioè una catena di server intermedi per raccogliere le informazioni sottratte ai suoi target. La rete serve per mascherare il percorso delle informazioni e offuscare l’identità dei propri clienti. Secondo i commenti degli stessi sviluppatori di Hacking Team, emersi nel leak, lo spyware di NSO Group sarebbe solo per dispositivi mobili, mentre – almeno nel 2014 – a occuparsi di infettare computer desktop sarebbe stata un’altra azienda.

Ad ogni modo, da allora NSO Group – forse sfruttando anche le difficoltà incontrate da due sue concorrenti, FinFisher e Hacking Team, entrambe hackerate nel giro di un anno – sembra aver guadagnato posizioni in questo segmento di mercato. “Agli ultimi incontri dell’ISS, la fiera internazionale sugli strumenti di intercettazione usati da forze dell’ordine e intelligence, era presente e ben visibile”, racconta una fonte ben informata del settore. “Continua ad avere dei prezzi superiori alla media, ma si sta cercando di imporre come leader indiscusso nel campo dei trojan su piattaforme iOS e Android”. E diceva anche di poter “infettare iOS aggiornati all’ultima versione senza interazione da parte dell’utente e/o senza jailbreak”.

Questo dato, del jailbreak da remoto, sembra ora essere confermato. Inoltre – continua la fonte – appariva stretta la collaborazione con altre aziende israeliane come Ability, che dice di poter geolocalizzare e intercettare le telefonate e gli SMS di qualsiasi telefono nel mondo.

In quanto al report di Citizen Lab, va detto che, secondo i suoi autori, Mansoor non sarebbe stato l’unico attivista preso di mira dal software di NSO Group, né gli Emirati gli unici possibili clienti. Anche Rafel Cabrera, un giornalista messicano molto critico nei confronti del suo governo, avrebbe ricevuto lo spyware. E tracce dello stesso sarebbero state rinvenute in Paesi come la Turchia, la Thailandia, il Kenia, l’Uzbekistan, la Nigeria, il Bahrein. (fonte)

Aggiornare spesso, il vostro iPhone è vulnerabile a spyware

IL DISSIDENTE DA TRE SPYWARE E 1 MILIONE DI DOLLARI

L’ATTACCO SU IPHONE

IL COMMENTO DI MANSOOR

NSO: BASSO PROFILO, ATTORE EMERGENTE

You may also like...

Ti piace il nostro blog?

Segui CheckBlackList

Categorie

Archivi

Le nostre Pagine su Facebook

Cerca articoli

Link utili

News recenti

Vodafone disturba troppo gli utenti, e il garante interviene

Ecco perché prendersi una pausa da Facebook fa bene

Malware Snipr, un tool per furto di credenziali

Messaggi privati, attenti a Slack

Scattare troppe foto con lo smartphone ci fa perdere i ricordi

Google Chrome, lotta alle criptovalute

MyFitnessPal, rubate informazioni di 150 milioni di account

Apple Watch, al suo interno le prove di un omicidio

Privacy, dati su Hiv condivisi con terzi

Zuckerberg, anni per risolvere problemi di Facebook

Segui anche