Grazie a una combinazione di rigidi controlli e configurazioni di sicurezza innovative, Apple ha plausibilmente reso l’iPhone il dispositivo consumer più sicuro nel mondo. Ma niente è impossibile da hackerare, e i malware per iOS non sono poi così rari come molti di noi pensano.
All’inizio di quest’anno,l’azienda russa di cybersicurezza Kaspersky Lab ha trovato le prove che una piccola azienda che fabbrica spyware governativi chiamata Negg ha sviluppato un “malware per iOS che consente di monitorare il GPS e sorvegliare l’audio,” stando a un report privato che l’azienda ha inviato ai propri abbonati. La scoperta del malware iOS di Negg non è mai stata segnalata al di fuori di Kaspersky.
Videos by VICE
“Abbiamo trovato un malware iOS,” ha detto a Motherboard Alexey Firsh, ricercatore del Kaspersky Lab in una email. “Presumiamo che al momento della scoperta fosse in una fase di sviluppo e non fosse ancora completamente adattato per infettare potenziali vittime.”
“Abbiamo trovato un impianto iOS.”
I malware su iOS sono da sempre rari, grazie al fatto che fare jailbreak degli iPhone diventa più complicato ogni giorno e grazie all’attenzione costante di Apple sul rendere impenetrabili i propri dispositivi. Questo ha fatto schizzare al cielo i prezzi per bug e vulnerabilità trovate su iOS. Al momento, le aziende sono disposte a pagare cifre come 3 milioni di dollari per software che permettono di fare jailbreak e hackerare gli iPhone — e i ricercatori sono riluttanti ad avvertire Apple dei bug che trovano, semplicemente perché c’è gente che paga meglio.
I governi del mondo sono disposti a spendere fortune intere su un malware per iOS. L’Arabia Saudita ha pagato 55 milioni di dollari per un malware per iPhone fatto da NSO Group, stando a un report recente del quotidiano isreaeliano Haaretz. Ci sono diverse aziende specializzate in malware per iOS, come Azimuth, NSO Group e altre. Ma, a dispetto delle apparenze, i malware iOS non sono solo nelle mani delle grandi aziende e dei loro clienti governativi.
Il ricercatore in sicurezza Zuk Avraham ha scritto di recente su Twitter che i jailbreak di iOS, la base di qualsiasi tipo di malware per iOS, non sono rari quanto la gente pensa, e ha stimato che esistano oltre 50 gruppi già in possesso di vulnerabilità iOS. Mentre la maggior parte delle persone è convinta che solo potenti governi nemici abbiano accesso alle vulnerabilità degli iPhone, una serie di scoperte recenti suggerisce che gruppi meno noti ne siano a loro volta forniti.
Ora, persino le aziende relativamente più piccole hanno tra le mani malware iOS.
All’inizio dell’anno, il Kaspersky Lab ha segnalato di aver trovato un sofisticato spyware per Android battezzato Skygofree. Alcune fonti hanno informato Forbes all’epoca che lo spyware era stato fatto da Negg, una piccola azienda con appalto di sorveglianza dal governo italiano, di certo molto meno nota di NSO o Azimuth. Mentre i ricercatori del Kaspersky Lab indagavano sul malware android di Negg, hanno scoperto che uno dei server command and control portava a un “finto server Apple [Mobile Device Management],” stando al report privato dell’azienda.
Una fonte che ha ricevuto il report ha condiviso i dettagli che contiene con Motherboard, a condizione di restare anonima, dato che non ha l’autorizzazione per diffondere le informazioni.
il Mobile Device Management o MDM è una configurazione di iOS che permette alle aziende di gestire e monitorare i dispositivi dati agli impiegati. Installando un profilo MDM o un certificato su un iPhone, un utente cede una parte di controllo sul proprio telefono al proprietario dell’MDM. Questo meccanismo può essere utilizzato da chi crea malware. A luglio, l’azienda di sicurezza Talos ha scoperto che un gruppo di hacker sfruttava un MDM per colpire alcuni iPhone in India (il MDM può essere attivato per qualsiasi iPhone).
Costin Raiu, capo del team di ricerca del Kaspersky Lab, ha detto che il server MDM di Negg è ancora attivo. In questo report privato, i ricercatori del Kaspersky Lab hanno scritto che “il codice contiene diversi riferimenti che lasciano presumere che lo sviluppatore sia una piccola azienda italiana di nome Negg.”
Negg non ha risposto ai messaggi inviati all’indirizzo email che mette a disposizione per le richieste di informazioni. Quando Motherboard ha chiamato la sede dell’ufficio, un’impiegata ha detto che avrebbe inoltrato le domande al proprietario dell’azienda, che non era disponibile in quel momento. Apple non ha risposto alla richiesta di commento.
Non è del tutto chiaro come gli hacker governativi possano piazzare il malware sugli iPhone dei propri obiettivi. I ricercatori del Kaspersky Lab hanno speculato che potrebbe essere tramite social engineering, “usando siti di finti operatori di telefonia mobile.” In altre parole, questo malware non fa leva su bug o vulnerabilità presenti in iOS, ma trae vantaggio dal MDM, che è una caratteristica di design specifica del sistema operativo. In questo modo, si affida a una tecnica di hacking sociale abbondantemente consolidata — ingannare le persone e fare in modo che installino qualcosa da soli. Per molti anni, l’utente medio ha potuto essenzialmente cliccare su qualsiasi link, scaricare qualsiasi app o usare in generale il proprio iPhone senza doversi preoccupare della sorveglianza su misura. Presto, le cose potrebbero essere molto diverse.
“In pratica, stai cedendo controllo amministrativo del tuo telefono a entità malfidate.”
A maggio scorso, Motherboard ha rivelato come le compagnie telefoniche italiane aiutino le forze dell’ordine a installare malware sui telefoni di sospetti criminali.
Stando a Ryan Duff, ex hacker di Cyber Command, ora direttore delle soluzioni a Point3, questa scoperta non dovrebbe creare più preoccupazione del dovuto.
“Se parliamo del MDM come metodo di iniezione del malware, fa abbastanza pena,” ha detto Duff a Motherboard in una chat online. “Per quanto riguarda il rischio, è abbastanza basso. Non puoi forzare un iPhone a connettersi a un MDM server. Dovresti fare in modo che siano loro a installare un profilo sul loro telefono. Dovresti convincerli di persona a farlo.”
Raiu ha detto che il Kaspersky non è sicuro come Negg — o i suoi clienti — infilino il malware negli iPhone presi di mira. Potrebbe essere appunto tramite social engineering, o “persino accedendo fisicamente” ai dispositivi. Kaspersky non sa se Negg abbia a disposizione vulnerabilità o 0-day specifici di iOS.
Se anche un malware basato sul MDM non è sofisticato come un malware che viene iniettato tramite vulnerabilità sconosciute e costose — o 0-day — una volta che è sul telefono il risultato è lo stesso: gli hacker — che siano criminali o pagati dal governo — hanno accesso a qualsiasi cosa il dispositivo contenga.
“In pratica, stai cedendo controllo amministrativo del tuo telefono a entità malfidate,” mi ha detto Duff. “Per cui è ovvio che da lì sia possibile per loro installare un malware.”
Questo articolo è apparso su Motherboard US.