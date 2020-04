Di Pierguido Iezzi

L’applicazione predefinita e preinstallata per gestire le mail, installata su milioni di iPhone e iPad è a rischio nei confronti di due vulnerabilità critiche (Zero day) che i Criminal Hacker stanno sfruttando almeno da due anni, per spiare vittime di alto profilo.

La serietà di queste criticità è tale che potrebbe permettere ai Criminal hacker di prendere segretamente il controllo completo dei dispositivi Apple semplicemente inviando un’email a qualsiasi individuo con il suo account di posta elettronica collegato all’app vulnerabile.

Secondo i ricercatori, i bug in questione sono difetti di esecuzione del codice remoto che risiedono nella libreria MIME dell’app di Apple: il primo, dovuto a un bug di scrittura fuori campo mentre il secondo è un problema di overflow.

Sebbene entrambe le vulnerabilità si attivino durante l’elaborazione del contenuto di un’email, il secondo difetto è più pericoloso perché può essere sfruttato con ‘zero-click’, dove non è richiesta alcuna interazione da parte delle vittime.

Un “nuovo” problema di 8 anni fa

Secondo i ricercatori, entrambi i difetti sono stati riscontrati in vari modelli di iPhone e iPad negli ultimi 8 anni, in particolare dal rilascio di iOS 6 e, purtroppo, riguardano anche l’attuale iOS 13.4.1 senza alcuna patch ancora disponibile per le versioni normali.

Ciò che è ancora più preoccupante è che diversi gruppi di Criminal Hacker stanno già sfruttando queste vulnerabilità per colpire individui di varie industrie e organizzazioni, MSSP dall’Arabia Saudita e Israele e giornalisti in Europa.

Anche con un campione limitato su cui effettuare la ricerca, il team che ha messo in luce la problematica, è stato in grado di vedere che almeno sei organizzazioni sono state colpite da questa vulnerabilità, ma la sua portata poterebbe essere n volte più ampia…

In maniera ancora più preoccupante, nel Dark Web, il pacchetto ready to use di questo attacco è stato già messo in vendita.

Ad aggiungersi alla pericolosità di questo attacco, potrebbe essere difficile per gli utenti Apple sapere se sono stati presi di mira come parte di questi cyber-attacchi perché è stato scoperto che gli aggressori eliminano le email dannose immediatamente dopo aver ottenuto l’accesso remoto al dispositivo delle vittime.

Infatti, anche se i dati confermano che le e-mail di exploit sono state ricevute ed elaborate dai dispositivi iOS delle vittime, mancavano le e-mail corrispondenti che avrebbero dovuto essere ricevute e memorizzate sul mail-server. Pertanto, si deduce che queste e-mail sono state cancellate intenzionalmente nell’ambito delle misure di pulizia della sicurezza operativa di un attacco.

Oltre a un temporaneo rallentamento di un’applicazione di posta mobile, gli utenti non dovrebbero osservare nessun altro comportamento anomalo.

Da notare che, una volta sfruttata con successo, la vulnerabilità esegue codice dannoso nel contesto dell’applicazione MobileMail o maild, consentendo agli aggressori di far trapelare, modificare ed eliminare le email.

Tuttavia, per assumere il pieno controllo del dispositivo da remoto, gli aggressori devono concatenarlo con una vulnerabilità del kernel separata.

Al momento non è stata fatta menzione del tipo di malware che gli aggressori hanno utilizzato per colpire gli utenti, ma si ritiene che stiano sfruttando le falle in combinazione con altri problemi del kernel per spiare con successo le loro vittime.

Nessuna patch ancora disponibile

I ricercatori hanno scoperto i relativi difetti quasi due mesi fa e li hanno segnalati al team di sicurezza di Apple.

Al momento della scrittura, solo la versione beta 13.4.5 di iOS, rilasciata solo la scorsa settimana, contiene patch di sicurezza per entrambe le vulnerabilità zero-day.

Per milioni di utenti di iPhone e iPad, una patch software pubblica sarà presto disponibile con il rilascio del prossimo aggiornamento di iOS.

Nel frattempo, si consiglia vivamente agli utenti Apple di non utilizzare l’applicazione di posta elettronica integrata nel proprio smartphone, ma di passare temporaneamente alle applicazioni Outlook o Gmail.