Un noto ricercatore di Google, Ian Beer, ha recentemente pubblicato un post esplosivo. Nel suo articolo infatti spiega di aver scoperto una sequenza di exploit che consente davvero a un utente malintenzionato di entrare in un iPhone nelle vicinanze e rubarne i dati personali. Il tutto utilizzando solo connessioni wireless e senza che siano necessari clic o avvisi mostrati all’utente mentre è innocentemente occupato nell’uso del suo dispositivo.
L’articolo si conclude con un breve video dell’autore che lo mostra mentre ruba tranquillamente una foto dal telefono della vittima utilizzando un kit di hacking impostato nella stanza accanto:
- Scatta una foto di un “documento segreto” utilizzando l’iPhone in una stanza.
- Lascia l’”utente” del telefono (un gigantesco orsacchiotto rosa) seduto felicemente a guardare un video di YouTube.
- Va alla porta accanto e dà il via a un attacco via etere automatizzato che sfrutta un bug del kernel sul telefono.
- L’exploit carica di nascosto il codice del malware sul telefono, gli garantisce l’accesso alla directory dei dati dell’app Foto, legge il file di foto “segreto” e lo carica invisibilmente sul suo laptop della porta accanto.
- Il telefono continua a funzionare normalmente per tutto il tempo, senza avvisi, popup o altro che potrebbe avvisare l’utente dell’hacking.
Questa è la cattiva notizia.
La buona notizia è che la vulnerabilità principale su cui faceva affidamento Beer è quella che lui stesso ha trovato molti mesi fa, segnalata ad Apple, e che è già stata corretta.
Quindi, se hai aggiornato il tuo iPhone negli ultimi mesi, dovresti essere al sicuro da questo particolare attacco.
L’altra buona notizia è che Beer, per sua stessa ammissione, ha impiegato sei mesi di lavoro dettagliato e dedicato per capire come sfruttare il proprio bug.
Ovviamente, è lecito chiedersi perché Beer si sia preso la briga di riprendere un bug che aveva trovato e già segnalato, facendo così tanti sforzi per armarlo, per usare il gergo paramilitare comune nella sicurezza informatica.
Ebbene, Beer dà la risposta lui stesso, proprio all’inizio del suo articolo:
La conclusione di questo progetto non dovrebbe essere: nessuno passerà sei mesi della propria vita solo per hackerare il mio telefono.
Invece, dovrebbe essere: una persona, lavorando da sola nella propria camera da letto, è stata in grado di sviluppare una capacità che gli avrebbe permesso di compromettere seriamente gli utenti di iPhone con cui era entrato in stretto contatto.
Per essere chiari: Beer, tramite Google, ha segnalato prontamente il bug originale e, per quanto ne sappiamo, nessun altro lo aveva capito prima di lui, quindi non vi è alcuna evidenza che questo bug sia stato sfruttato da qualcuno nella vita reale.
Ma il punto è che è ragionevole presumere che una volta scoperto un buffer overflow a livello di kernel, anche di fronte alle più recenti e più grandi mitigazioni degli exploit, un aggressore determinato potrebbe trarne un exploit pericoloso.
Trovare i bug è vitale; rattopparli è fondamentale; imparare dai nostri errori è importante; ma dobbiamo comunque continuare a far evolvere le nostre difese di sicurezza informatica in ogni momento.
Come proteggersi?
Suggerimento 1. Assicurati di essere aggiornato con le correzioni di sicurezza, perché il bug al centro della catena di attacchi di Beer è stato trovato e divulgato da lui in primo luogo, quindi è già stato corretto. Vai a Impostazioni> Generali> Aggiornamento software.
Suggerimento 2. Disattiva il Bluetooth quando non ti serve. L’attacco di Beer è un buon promemoria del “less is more”, perché aveva bisogno del Bluetooth per trasformarlo in un vero attacco zero-clic.
Suggerimento 3. Non dare mai per scontato che, poiché un bug suona “difficile”, non verrà mai sfruttato. Beer ammette che questo è stato difficile, molto difficile, da sfruttare, ma alla fine non impossibile.
Suggerimento 4. Se sei un programmatore, sii severo con i dati. Non è mai una cattiva idea eseguire un buon controllo degli errori.
Per tutti i programmatori là fuori: aspettati il meglio, cioè spera che tutti coloro che richiedono il tuo codice abbiano già verificato la presenza di errori almeno una volta; ma preparati al peggio, cioè supponi che non l’abbiano fatto.
Se vuoi saperne di più su come Beer ha simulato l’attacco leggi l’articolo completo su Naked Security.
Lascia un commento