Il team di sicurezza Project Zero di Google ha scoperto una campagna malware di alto profilo che ha preso di mira gli utenti iPhone da almeno due anni: un piccolo gruppo di siti web è stato sfruttato per compromettere gli smartphone della Mela con le versioni di iOS dalla 10 alla 12, usando opportunamente un insieme di 14 differenti vulnerabilità mai rivelate, ovvero delle falle zero-day.

La campagna dovrebbe ormai essere terminata sebbene Project Zero, specializzato proprio in falle zero-day, avverte che potrebbero esistere altre falle e altri siti non ancora individuati e in grado di condurre ad esiti della stessa gravità. Apple ha risolto le falle con l'aggiornamento iOS 12.1.4 distribuito a febbraio dopo che il team ha comunicato le vulnerabilità, concedendo una settimana di tempo prima di divulgarle. Project Zero normalmente concede 90 giorni dal momento in cui comunica le sue scoperte al diretto interessato: la ravvicinatissima deadline imposta ad Apple è sintomo della gravità delle vulnerabilità scoperte.

"Non vi era una distinzione di bersaglio: semplicemente la visita ad uno dei siti era sufficiente per consentire l'attacco al dispositivo da parte del server exploit, con l'installazione di un sistema di monitoring qualora fosse andato a buon fine. Stimiamo che questi siti ricevano migliaia di visitatori a settimana" ha dichiarato Ian Beer di Project Zero.

Gli attacchi, facenti parte della categoria dei "watering hole", consentono ad un malintenzionato di compromettere il dispositivo dell'utente finale infettando siti web particolarmente frequentati, con l'obiettivo di ottenere accesso al dispositivo della vittima ed installarvi malware o malvertising.

Le 14 vulnerabilità, presenti in Safari e nel kernel (più due istanze separate di sandbox-escaping, che permettono l'esecuzione di codice arbitrario al di fuori dei confini di un'applicazione) permettevano di mettere in atto fino a cinque differenti attacchi, capaci a loro volta di garantire l'accesso di root all'attaccante e concedendo così i pieni permessi per poter installare malware e accedere a risorse altrimenti non raggiungibili, come ad esempio fotografie, messaggi, contatti e coordinate geografiche, il tutto con la comunicazione ad un server command-and-control.

E c'è, purtroppo, di più: gli attacchi e il seguente impianto malware aveva la possibilità di caricare sul server command-and-control anche il portachiavi del dispositivo e i data container di varie app di terze parti come Whatsapp, Telegram, Skype, Facebook, Gmail e Viber, tanto per fare un esempio. Nei data container sono contenute tutte le informazioni che passano dalle app: messaggi, documenti, fotografie e via dicendo. In questo caso nemmeno la crittografia end-to-end può fare alcunchè: essa infatti permette di mettere al sicuro i dati da attacchi di tipo man-in-the-middle quando essi sono in transito, ma non è di utilità alcuna quando l'attacco e la compromissione avvengono sul dispositivo e l'attaccante può entrare in possesso dei messaggi in testo semplice inviati e ricevuti (e quindi già decifrati).

Abbiamo già detto poco sopra che Apple ha rilasciato il fix lo scorso febbraio con l'aggiornamento iOS 12.1.4, e l'altra buona notizia è che l'impianto malware che può essere caricato non ha persistenza, il che significa che dopo un riavvio del telefono il dispositivo non risulta più infetto, a meno che non si visiti ancora una volta un sito compromesso e con telefono non aggiornato. Purtroppo non è dato sapere quali siano i siti web compromessi.

Tutti i dettagli tecnici delle vulnerabilità e degli attacchi si trovano sul blog di Project Zero. Chi invece non avesse ancora aggiornato iOS dovrebbe farlo il prima possibile tramite il consueto meccanismo di aggiornamento software.