Una ricerca rivela che migliaia di iPhone sono stati vittime di sofisticati attacchi spyware, evidenziando vulnerabilità precedentemente sconosciute.
Secondo ArsTechnica, i ricercatori hanno scoperto che migliaia di iPhone sono stati attaccati da spyware nel corso di quattro anni. Questi dispositivi appartenevano ai dipendenti della società di sicurezza Kaspersky a Mosca. Gli aggressori hanno ottenuto un accesso senza precedenti sfruttando una vulnerabilità hardware poco conosciuta, nota principalmente ad Apple e alla società di progettazione di semiconduttori Arm Holdings. Non è chiaro come gli hacker abbiano scoperto questa caratteristica hardware e i ricercatori non sanno il suo scopo. Non è noto se l’hardware fosse una parte integrante dell’iPhone o abilitato da un componente esterno come CoreSight di Arm. Lo spyware ha colpito anche gli iPhone di persone che lavorano in ambasciate e missioni diplomatiche in Russia.
Lo spyware veniva diffuso tramite iMessage, infettando gli iPhone senza alcuna azione da parte dell’utente. Gli iPhone infettati trasmettevano registrazioni del microfono, foto, dati di geolocalizzazione e altre informazioni sensibili. Anche se riavviare un iPhone eliminava lo spyware, i cyber criminali potevano reinviarne uno nuovo e reinfettare il dispositivo. Boris Larin, ricercatore di Kaspersky, ha affermato che la sofisticatezza dell’exploit e l’oscurità della funzione suggeriscono che gli aggressori avevano capacità tecniche avanzate. Non è ancora chiaro come abbiano scoperto questa funzione, ma si ipotizza che possa essere avvenuto tramite divulgazione accidentale o reverse engineering dell’hardware.
Il malware e la campagna denominata “Triangulation” sfruttavano quattro vulnerabilità zero-day, note agli aggressori prima di Apple. Queste vulnerabilità, ora corrette da Apple, includono:
- CVE-2023-32434
- CVE-2023-32435
- CVE-2023-38606
- CVE-2023-41990
Queste vulnerabilità e l’hardware segreto coinvolto non erano limitati solo ai modelli di iPhone, ma interessavano anche iPad, iPod, Mac, Apple TV e Apple Watch. Apple ha risolto queste vulnerabilità su tutti i dispositivi menzionati. Boris Larin di Kaspersky, in un comunicato stampa, ha sottolineato che questa non è una vulnerabilità ordinaria. Ha evidenziato la difficoltà di scoprire tali vulnerabilità nell’ecosistema chiuso di iOS e la necessità di una comprensione completa delle architetture hardware e software. Larin ha osservato che anche le protezioni avanzate basate sull’hardware possono essere vulnerabili a un attaccante sofisticato, soprattutto quando esistono funzioni hardware che permettono di aggirare tali protezioni.
Riguardo ai responsabili dell’attacco, vi sono sospetti verso la National Security Agency (NSA) statunitense. Il servizio federale di sicurezza russo sostiene che l’attacco sia stato condotto dall’NSA in collaborazione con Apple. Tuttavia, Kaspersky non ha confermato il coinvolgimento di nessuna delle due entità.