Falle sicurezza Apple, iPhone hackerati per due anni

Attraverso l'accesso del melafonino a siti malevoli

Bastava visitare siti malevoli attraverso un iPhone per diventare bersaglio di cybercriminali che potevano prendere il controllo del telefono e attingere a dati personali degli utenti, posizione, foto. In pratica monitorarli. A scoprire, a febbraio scorso, le falle di sicurezza di Apple un gruppo di ricercatori di Google Project Zero, il team che si occupa di attacchi informatici 'zero days' cioè quelli di cui non sono a conoscenza neanche gli sviluppatori o le aziende informatiche che hanno creato i software. Cupertino, dopo la segnalazione dei ricercatori ha corretto le vulnerabilità.

"Non c'era un target preciso, semplicemente bastava visitare i siti hackerati per attaccare il dispositivo e, se l'attacco andava a buon fine, iniziare il monitoraggio. Stimiamo che questi siti ricevono migliaia di visitatori a settimana", spiega Ian Beer, ricercatore di Project Zero. Il team ha individuato almeno 12 diverse falle di sicurezza in grado di compromettere gli iPhone. Molte di queste erano in Safari, il programma di Apple per navigare sul web pre-installato sui melafonini. Una volta agganciato l'iPhone della vittima, gli hacker potevano accedere ad un enorme ammontare di dati, inclusi contatti, foto, localizzazione. E anche spiare le app usate dall'utente come Gmail, WhatsApp e Instagram. Tutte le informazioni potevano essere inviate ad un server esterno in 60 secondi. Le vulnerabilità erano presenti in quasi tutte le versioni di iOS 10 e fino all'ultima versione di iOS 12, il sistema operativo per dispositivi mobili di Cupertino.

"Questo - aggiunge Ian Beer - indica che un gruppo stava compiendo uno sforzo prolungato per hackerare gli utenti di iPhone su un periodo di almeno due anni". Secondo i ricercatori, inoltre, alla base delle vulnerabilità ci sono "codici che sembra non abbiano mai funzionato" oppure "abbiano avuto pochi test o revisioni prima di essere resi disponibili agli utenti".

Considerazioni che farebbero cadere il mito dei dispositivi Apple più sicuri di altri. "Apple non è diversa da qualsiasi altro vendor. Troppa complessità, troppi 'strati', troppa gente che ci mette le mani", spiega all'ANSA l'esperto di sicurezza informatica Andrea Zapparoli Manzoni. E la scoperta di queste vulnerabilità "non è un esito strano o improbabile, ma il risultato matematico delle premesse in base alle quali è stata progettata e venduta l'informatica di consumo". Dopo la scoperta delle falle a febbraio scorso - la Bbc lo definisce come "uno dei più grandi attacchi agli utenti della Mela" - i ricercatori di Google Project Zero hanno segnalato la situazione ad Apple che a sua volta, nel giro di una settimana, ha rilasciato le correzioni sicurezza con l'aggiornamento iOS 12.1.4. Il consiglio degli esperti è quello di aggiornare il proprio iPhone all'ultima versione di iOS.

"La semplice visita al sito compromesso era sufficiente affinché il server attaccasse il dispositivo e, in caso di successo, installasse un impianto di monitoraggio", spiega Ian Beer, ricercatore di Project Zero. In pratica, gli hacker potevano avere accesso all'iPhone, installando applicazioni dannose e anche monitorando l'attività dell'utente a sua insaputa. Per i ricercatori di Google, queste vulnerabilità sarebbero state sfruttate anche per rubare foto e messaggi e per rintracciare la loro posizione in tempo reale.

La vulnerabilità di sicurezza è presente da iOS 10 a iOS 12, Apple ha rilasciato iOS 12.1.4 per correggere tutti i problemi riscontrati. 

        RIPRODUZIONE RISERVATA © Copyright ANSA

        Video ANSA