Passcode su iPhone Fonte foto: KOKTARO / Shutterstock.com
SICUREZZA INFORMATICA

IPhone, basta un messaggio per hackerarlo

Una ricercatrice di sicurezza ha scovato alcune gravi vulnerabilità nell'app Messaggi di Apple. Alcune di queste possono essere sfruttate senza interazione

9 Agosto 2019 - Quando si pensa ai vari modi che gli hacker potrebbero sfruttare per “entrare” nel nostro smartphone e spiarci possono venire in mente una lunga serie di possibili soluzioni. C’è chi si preoccupa dei link inviati via posta elettronica o sulle piattaforme di messaggistica; chi a campagne di phishing e social engineering che ci spingono a scaricare app malevole contenenti trojan o spyware; o, ancora, a complesse campagne di hacking messe a punto da agenzie governative per il controllo globale.

E dire, invece, che è tutto molto più semplice. In alcuni casi, ad esempio, non è neanche necessario che il possessore del telefonino faccia alcunché. Lo ha scoperto Natalie Silvanovich, ricercatrice del Google Project Zero, gruppo di ricercatori in sicurezza informatica sponsorizzati dal gigante di Mountain View. Nel corso dell’evento Black Hat, conferenza dedicata ai temi della sicurezza informatica in corso di svolgimento a Las Vegas, la ricercatrice ha mostrato alcune vulnerabilità presenti all’interno di iMessage che permetterebbero agli hacker di spiare tutte le attività svolte con il telefono senza che il proprietario debba fare nulla. Nella gran parte dei casi, infatti, è sufficiente inviare un messaggio per “attivare il bug” e spiare l’iPhone.

Come funzionano i bug “interaction-less” su iMessage

Nel corso della sua conferenza, la Silvanovich ha ammesso che il suo studio sui bug “interaction-less” (neologismo inglese che può essere tradotto con “senza bisogno di interazioni”) dall’attacco condotto nei confronti di WhatsApp con il malware Pegasus. Studiando il codice sorgente di vari servizi di messaggistica, la ricercatrice Google ha scoperto che Messaggi di Apple presenta diverse vulnerabilità di questo tipo.

Le più pericolose, spiega la Silvanovich, sono quelle che consentono di recuperare informazioni sui proprietari di iPhone senza che questi possano accorgersi di nulla o possano in qualche modo difendersi. Ad esempio, inviando un semplice messaggio contenente una stringa di codice, è possibile ricevere dati e informazioni riguardanti gli SMS inviati e ricevuti da un determinato telefono. Fortunatamente, Apple ha rilasciato delle patch che risolvono la gran parte delle vulnerabilità individuate dal gruppo di ricerca Google Project Zero, ma alcune (ancora non note) sono ancora “aperte”.

Come difendersi dagli attacchi “interaction-less” su iMessage

Abbiamo già accennato al fatto che la tipologia di attacchi scoperti dalla ricercatrice di Big G non permettono agli utenti di difendersi in alcuna maniera. Questo, però, è vero solamente in parte. Un modo per difendersi c’è: scaricare e installare tutti gli aggiornamenti per sistema operativo e app che vengono rilasciati a cadenza quasi quotidiana. In questo modo si installeranno versioni delle app senza i bug scoperti nei giorni e nelle settimane precedenti.