Così come aveva annunciato, Apple ha rilasciato oggi la patch per FaceTime, l’applicazione per le chiamate di gruppo con l’iPhone affetta da un pericoloso bug che consente di attivare il microfono e la videocamera sullo smartphone di chi riceve la telefonata ancor prima che questi accetti la chiamata. Una vulnerabilità dalla quale deriva un grosso pericolo di intercettazioni illegali a danno dei manager aziendali.
Contestualmente al rilascio della patch, Apple dovrebbe anche riattivare lato server la funzionalità “incriminata”, Group FaceTime, che gestisce appunto le chiamate di gruppo e che era stata inizialmente disattivata proprio per evitare pesanti ricadute sulla privacy degli utenti.
Indice degli argomenti
La patch di FaceTime: i dettagli tecnici
In particolare, tra gli aggiornamenti che Apple ha rilasciato per MacOS (dalla versione 10.14.3) e iOS (per iPhone 5s e successivo, iPad Air e successivo e iPod touch di sesta generazione), quello che riguarda FaceTime è il CVE-2019-6223, che può essere immediatamente installato seguendo la consueta procedura di aggiornamento dei dispositivi Apple.
Se non si ha modo di installare subito la nuova patch di sicurezza, conviene almeno disattivare l’applicazione su tutti i dispositivi, in modo da proteggere privacy e conversazioni. La procedura per farlo è semplicissima:
su iPhone e iPad:
- aprire le Impostazioni del dispositivo;
- scorrere la schermata verso il basso fino a trovare l’opzione FaceTime;
- attivare l’interruttore corrispondente in modo che FaceTime venga disattivata (l’interruttore passerà da verde a grigio).
su Mac:
- aprire l’applicazione FaceTime sul Mac: si trova nella finestra Finder, elencata sotto Applicazioni;
- cliccare sul menu FaceTime nella barra dei menu in alto;
- selezionare la terza opzione, Attivare FaceTime Off.
per uscire completamente da FaceTime su Mac:
- aprire l’applicazione FaceTime sul Mac;
- cliccare sul menu FaceTime nella barra dei menu in alto;
- selezionare la seconda opzione in Preferenze;
- cliccare su Esci.
FaceTime, pericolo intercettazioni: il parere degli analisti
Ma ricostruiamo, dall’inizio, tutta la faccenda.
Lo strano comportamento dell’applicazione è stato segnalato su Twitter da un utente che si firma come Benji Mobb. In un breve video si vede l’utente che, dopo aver avviato una chiamata di gruppo riesce ad ascoltare, prima ancora che arrivi lo squillo, cosa dicono gli interlocutori dall’altra parte, ignari ovviamente del fatto che il microfono del loro smartphone sia acceso e stia già registrando quello che dicono.
Dal video si evince, inoltre, che la procedura per effettuare una registrazione non autorizzata delle chiamate è davvero semplice. È sufficiente, infatti, completare i seguenti passaggi:
- avviare una chiamata FaceTime Video con un contatto della nostra rubrica;
- prima che l’interlocutore risponda, occorre effettuare uno swipe sullo schermo verso il basso e, nella schermata che appare, cliccare su Aggiungi Persona;
- aggiungere sé stessi alla chiamata.
A questo punto è possibile ascoltare l’audio “rubato” del nostro contatto prima che questo risponda alla telefonata. Inoltre, secondo quanto riportato dal blog 9to5Mac, se l’interlocutore preme un tasto per bloccare la chiamata o spegnere l’apparecchio fa partire involontariamente un breve video che viene registrato da chi ha effettuato la chiamata.
Da un’analisi più approfondita dell’anomalia nel codice di FaceTime si evince che il problema si verifica quando tutti gli utenti interessati dalla chiamata di gruppo hanno la versione 12.1 del sistema operativo iOS o più recente. Il problema, ovviamente, può interessare anche chi riceve una chiamata su Mac da un iPhone affetto dal bug.
Un bug abbastanza “banale” ma che non bisogna prendere sottomano, come confermano gli analisti di sicurezza al nostro sito, suggerendo anche alcuni utili consigli a tutti gli utilizzatori di iPhone e Mac.
Secondo Jusef Khamlichi, Consulente senior presso P4I – Partners4Innovation, “gli smartphone hanno capacità di controllo potenzialmente elevatissime con conseguenze anche molto gravi sulle nostre libertà e sulla nostra privacy. Ciò che qui si configura come un bug isolato, denota in realtà un ampio spazio di manovra di un possibile hacker o di altri soggetti (anche gli stessi fornitori o i governi) che tramite i nostri dispositivi possono pregiudicare tutti i nostri dati, la nostra reputazione e la nostra situazione economica”.
“Il rafforzamento dei livelli di sicurezza di questi dispositivi, purtroppo, non è sotto il nostro controllo e possiamo solo fare affidamento sulle case produttrici e sugli enti di vigilanza (il Garante privacy)”, continua Khamlichi. “Detto ciò, l’unica possibilità concreta per proteggere la nostra privacy è un comportamento responsabile e consapevole nella gestione delle informazioni che in qualunque modo potremmo divulgare. Particolarmente importante è la valutazione della natura e criticità delle informazioni che gestiamo tramite dispositivi e altri sistemi. In secondo luogo è importantissimo presidiare e informarsi sulle modalità per proteggere i nostri dati quando li affidiamo a terzi (ad esempio, WhatsApp, Gmail, Facebook) e valutare i rischi connessi all’uso improprio di quei dati, considerando sempre gli scenari peggiori per identificare le peggiori conseguenze che potremmo subire. Una volta fatto ciò sarà possibile decidere consapevolmente se accettare i rischi o meno”.
Secondo Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder, invece, “il bug di Facetime pone diversi interrogativi. Una falla dell’applicazione riapre, conferma e rimette in discussione la questione privacy degli utenti relativamente all’uso delle mobile app e web application che quotidianamente ognuno di noi usa. Per intenderci, qualsiasi delle mobile app che abbiamo sul nostro dispositivo mobile ha potenzialmente la possibilità di ascoltare le nostre conversazioni private, il nostro quotidiano. Uno scenario che non dovrebbe sconvolgerci perché di fatto è già così con buona parte dei social network che quotidianamente usiamo. Le nostre informazioni e le informazioni della nostra vita sono la vera forza della stessa Facebook, di Google…”.
A quale scopo ascoltarci? Iezzi descrive uno scenario abbastanza inquietante. “Immaginiamo l’utilizzo illecito di questo bug ai danni di figure istituzionali o con incarichi apicali in aziende critiche nazionali. A parte quindi la questione cyberwarfare, anche il mondo del cybercrime avrebbe una nuova leva per effettuare ricatti. In questi casi la domanda da porci è: quante delle mobile app che abbiamo nei nostri dispositivi hanno lo stesso bug? C’è anche un’altra domanda, sicuramente assurda e sicuramente improbabile: È questo il bug o il fatto che sia stato identificato è il vero bug? Ma come ho indicato, è talmente assurda come domanda che non vale la pena di farla… oppure no?”.
La scoperta del bug di FaceTime è “l’ennesima doccia fredda che ci riporta a fare i conti con la realtà”, è invece il commento di Andrea Muzzi, Technical Manager F-Secure. “La nostra privacy è di nuovo a rischio, la possibilità che qualcuno possa accedere ad informazioni molto personali è un dato di fatto. Troppo spesso, ancora, utilizziamo i nostri strumenti informatici in maniera superficiale. Non ci rendiamo conto che tra i vari social, sistemi di messaggistica SMS e via dicendo, ogni giorno condividiamo tutta una serie di informazioni personali che danno la possibilità a eventuali cyber criminali di stilare decine e decine di profili che identificano esattamente le nostre vite”.
Dopo aver confermato che le nuove miniere d’oro sono i dati e che lo saranno sempre di più, Muzzi suggerisce alcune utili regole di comportamento in casi come questo: “sempre di più ognuno di noi può essere un obiettivo papabile. Cosa fare? Rinunciare ai social? Non navigare più? Assolutamente no: bastano pochi e semplici accorgimenti:
- se scarichiamo un nuovo software, una nuova app, affidiamoci a vendor noti che ci possano garantire un valido e tempestivo supporto, soprattutto in casi come questi;
- installiamo nel più breve tempo possibile ogni aggiornamento software che ci viene proposto. La velocità di rilascio e la complessità delle nuove applicazioni sono tali che non è possibile aspettarci che le case produttrici di software siano in grado di testare tutte le loro applicazioni prima di rilasciarle sul mercato”.
Articolo originariamente pubblicato il 30 gennaio e aggiornato in seguito al rilascio, da parte di Apple, degli aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS e Shortcuts per iOS.
