I ricercatori di un’università tedesca hanno analizzato l’implementazione della modalità Low Power Mode (LPM) sugli iPhone e hanno scoperto che introduce rischi per la sicurezza potenzialmente gravi, consentendo persino agli aggressori di eseguire malware su dispositivi già spenti.
Indice degli argomenti
iOS 15 permette di trovare anche un iPhone spento
Il nuovo scenario di rischio, dunque, sembrerebbe essere generato dal sistema di gestione della modalità a basso consumo (LPM) dei dispositivi Apple. In particolare, quando spegniamo l’iPhone o qualora il dispositivo dovesse spegnersi per batteria scarica, il modulo LPM consente di garantire il funzionamento di alcuni servizi, tra cui la funzionalità Trova il mio iPhone, le app di pagamento e le chiavi private dell’auto.
Servizi di tracciamento su iPhone sempre attivi
I grandi vantaggi di questa modalità di funzionamento, che si attiva allo spegnimento dell’iPhone, si scontrano in questa nuova analisi con i problemi di sicurezza che tutto ciò comporta, ma anche di privacy per tutti quei soggetti sensibili al rischio, in relazione alla particolare attività svolta (giornalisti, politici, attivisti) che automaticamente li espone a essere presi di mira maggiormente rispetto ad altri.
La ricerca, condotta dal Secure Mobile Networking Lab di TU Darmstadt in Germania, si offre di dettagliare in maniera esaustiva tutto il funzionamento di questa modalità a basso consumo di Apple, dimostrando che i sistemi di comunicazione wireless Bluetooth, NFC e Ultra-WideBand (UWB) rimangono attivi anche dopo lo spegnimento del dispositivo.
I ricercatori presenteranno i loro risultati alla conferenza ACM sulla sicurezza e la privacy nelle reti mobili wireless/WiseSec 2022.
Come funziona l’attacco contro iPhone spenti
Nell’analisi, i ricercatori hanno ipotizzato che l’attaccante abbia un accesso privilegiato al firmware e quindi sia in grado di inviare comandi personalizzati al firmware stesso, modificarne l’immagine o ottenere l’esecuzione di codice via etere.
I ricercatori, quindi, affermano che una volta che il firmware è stato compromesso, l’attaccante può mantenere un controllo limitato del dispositivo anche dopo che è stato spento dall’utente, il che potrebbe essere utile per exploit persistenti.
“Poiché il supporto LPM è implementato nell’hardware, non può essere rimosso modificando i componenti software. Di conseguenza, sui moderni iPhone, non ci si può più fidare che i chip wireless vengano spenti dopo lo spegnimento”, hanno scritto i ricercatori nel loro rapporto.
Inoltre, un’aggravante viene riscontrata sulla rilevazione secondo la quale il firmware non è né crittografato né firmato, esponendo dunque alla possibilità che utenti malintenzionati possano modificarlo, presumibilmente per installare un malware con capacità di information stealer.
Un grande problema di privacy non controllabile
“Trova il mio iPhone dopo lo spegnimento trasforma gli iPhone in dispositivi di localizzazione in base alla progettazione e l’implementazione all’interno del firmware Bluetooth non protetto contro la manipolazione. Le proprietà di tracciamento potrebbero essere modificate di nascosto dagli aggressori con accesso a livello di sistema”, continua ancora l’analisi del rischio.
Tra le possibili soluzioni, i ricercatori ritengono che Apple dovrebbe aggiungere un interruttore hardware per scollegare la batteria, il che “migliorerebbe la situazione per gli utenti interessati alla privacy e gli obiettivi di sorveglianza come i giornalisti”.
Lo studio, dunque, consente di andare a fondo nell’analisi di un’implementazione che i ricercatori stessi definiscono opaca, vista la scarsa documentazione, soprattutto alla luce dei problemi esposti, facendo presente di non aver ricevuto commenti o chiarimenti da parte di Apple, completamente lontana alla vicenda, almeno fino al momento della pubblicazione del testo accademico.
Anche ulteriori media internazionali di settore hanno richiesto un parere interno alla società sulla funzionalità “Trova il mio iPhone”, che però non ha al momento diffuso comunicati o indiscrezioni mezzo stampa.
Inoltre, va ricordato che la ricerca attuale arriva a qualche mese dall’inizio di gennaio 2022, periodo in cui avevamo esposto anche noi su Cybersecurity360, il problema legato alla diffusione di un malware in grado di simulare lo spegnimento del device. Sfruttando questo camuffamento, insieme all’installazione di codice malevolo, ci si potrebbe ritrovare spiati pur credendo di aver spento il telefono.
Queste tecniche malevoli, aggiunte anche allo studio e allo sfruttamento dei servizi che rimangono attivi in modalità LPM, offrono abbastanza materiale ad attori malevoli, talvolta anche sovvenzionati dagli stati, per condurre campagne di attacco finalizzate al furto di informazioni dal telefono, o dall’ambiente circostante nel quale viene immerso quotidianamente, soprattutto quando si tratta di soggetti altamente sensibili.
