A pochi giorni dal debutto di iPhone 15, il primo Made in India, due falle zero-day ribattezzate BlastPass sono state rilevate su iPhone: è urgente mitigare il rischio, perché sono vulnerabilità zero-click. Apple ha già rilasciato gli aggiornamenti, per cui si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza.
“La diffusione sempre più costante di queste vulnerabilità rappresenta davvero una svolta nel campo della sicurezza informatica”, commenta Pierguido Iezzi, Ceo di Swascan: “In un certo senso, sono possibili avvisaglie dell’arrivo di un’epoca di ‘Hyper War‘ dove le tradizionali linee di difesa basate sulla consapevolezza dell’utente perdono la loro efficacia“.
Infatti, “dal punto di vista tecnico”, aggiunge Paolo Dal Checco, informatico forense, “la catena di exploit è di assoluto rilievo non tanto perché si tratta di uno zero-day, quanto piuttosto perché può agire in modalità zero-click: in sostanza, nessun intervento dell’utente è richiesto per fare attivare la componente malevola e infettare il dispositivo”.
“Tra tutti gli exploit zero-day”, conferma Fabrizio Rendina, Head of SOC presso Swascan, “quelli zero-click sono sicuramente i più pericolosi e difficili da limitare, non essendo richiesta l’interazione dell’utente“. Ecco come proteggersi.
Indice degli argomenti
Due vulnerabilità zero-click su iPhone
L’exploit BlastPass, infatti, sfruttato per infettare gli iPhone con uno spyware, desta particolare allarme perché è un messaggio zero-click inviato via Apple iMessage. Le vulnerabilità sfruttate nella catena di exploit sono segnalate in rosso, con rischio grave. “Un altro chiaro segnale dell’escalation delle minacce cybernautiche che non risparmiano nemmeno gli utenti di dispositivi presumibilmente sicuri come gli iPhone”, sottolinea Riccardo Paglia, Cyber Security Expert, COO and Co-founder of Swascan.
Il fatto che il messaggio non richieda intervento umano ovvero di essere cliccato (o copiato su altri servizi di messaggistica) “ovviamente rende molto più facile l’installazione di malware sugli smartphone delle vittime”, mette in guardia Dal Checco. Significa che le vittime “non hanno alcun modo di evitare l’infezione né di accorgersi di quanto sta succedendo. A differenza di altri sistemi, che richiedono la ‘collaborazione’ – ovviamente inconsapevole della vittima -, gli zero-click funzionano a prescindere. Non richiedono quindi attività di social engineering tali da far ‘cadere nella trappola’ il soggetto convincendolo ad aprire allegati, cliccare, installare eccetera”.
Non bisogna eseguire altre attività a rischio, ma è sufficiente la ricezione del messaggio, soprattutto se si è bersagli dell’attacco.
I dettagli della catena di exploit BlastPass
Note come CVE-2023-41064 e CVE-2023-41061, le due vulnerabilità sfruttate nella catena di exploit BlastPass permettono agli attaccanti di infettare un iPhone equipaggiato con iOS 16.6, con tutte le patch fino a quella versione. Appartengono a un’organizzazione della società civile, con base a Washington DC, via allegati PassKit contenenti immagini malevoli.
La catena di exploit zero-click è in grado di inserire uno spyware commerciale del gruppo NSO, quello del famigerato Pegasus, su iPhone.
La lista dei dispositivi a rischio è:
- iPhone 8 e superiori;
- iPad Pro (tutti i modelli);
- iPad Air dalla terza generazione in su;
- iPad di quinta generazione e superiori;
- iPad mini di quinta generazione e superiori;
- Macs con macOS Ventura;
- Apple Watch Series 4 e superiori.
“Altro punto chiave”, mette in evidenza Dal Checco, “è il fatto che il tutto viene attivato tramite l’invio di un qualcosa – nel caso specifico un allegato iMessage contenente immagini costruite in modo da contenere una componente attiva.
“Questo deve rammentarci come tutte le volte in cui viene scambiato un oggetto informatico (vcard, immagine, audio, video, etc…) ,vanno presi accorgimenti tecnici volti a verificare che ciò che si riceve non possa danneggiare l’ambiente in cui lo smartphone opera“, ricorda l’esperto.
Le due direttrici della rilevazione delle falle zero-click su iPhone
“Si tratta di una rilevazione particolarmente preoccupante”, sottolinea Giuseppe Dongu, Head of Swascan Cybersecurity Team, “almeno lungo due dimensioni“.
Una dimensione “tecnica, per la gravità della vulnerabilità zero-click trovata, che permette ad un attaccante di impossessarsi del device di un utente senza necessità di interazione da parte di quest’ultimo”.
E una direttrice di natura “etica, più preoccupante, per la tipologia di target a cui questi attacchi sembrano essere mirati: attivisti per i diritti umani, giornalisti, organizzazioni non governative e così via, sui quali questa vulnerabilità è stata utilizzata per iniettare lo spyware Pegasus di NSO Group, già noto alle cronache per gli utilizzi che ne fanno gruppi senza grossi scrupoli, per lo più governativi, al fine di controllare queste tipologie di persone”.
“Organizzazioni non governative, attivisti ed altri membri della società civile rimangano obiettivi attraenti per gli attori delle minacce sofisticate”, evidenzia Riccardo Paglia che sottolinea “la necessità di misure di sicurezza robuste in questi settori“.
Lo scenario di Hyper War
“Gli attacchi zero-click, come suggerisce il nome, non richiedono alcuna interazione da parte dell’utente, vanificando quindi le strategie preventive che si basano sulla formazione e la consapevolezza dell’utente. Ipoteticamente, questo rende necessaria evoluzione dei framework di sicurezza informatica aziendale“, illustra Iezzi.
“Pur mantenendo una struttura consolidata che comprende la sicurezza predittiva tramite la Cyber Threat Intelligence“, ci dice ancora Iezzi, “la sicurezza preventiva basata sull’analisi del rischio e la sicurezza proattiva attuata tramite Security Operations Center (SOC) e team di risposta agli incidenti, è essenziale rafforzare e reinventare queste strategie per rimanere al passo con la rapidità e la sofisticazione delle nuove minacce. Nell’era dell’Hyper War, la sfida consiste nel sviluppare sistemi in grado non solo di prevenire gli attacchi, ma anche di anticiparli e contenere gli stessi in tempo reale”.
Ciò richiede “l’integrazione dell’intelligenza artificiale e dell’apprendimento automatico per creare meccanismi di difesa sempre più agili e autonomi”, sottolinea l’esperto di cyber security.
Come proteggersi da BlastPass e rischio zero-click su iPhone
Anche questo caso ci ricorda che è “fondamentale mantenere i propri device sempre e costantemente aggiornati”, afferma Fabrizio Rendina: “Apple ha appena rilasciato la versione di iOS (e di iPadOS) 16.6.1 che riesce a mitigare il rischio che BlastPass possa eseguire codice arbitrario a partire da un’immagine allegata”.
Infatti “Apple ha aggiornato il suo sistema operativo inserendo una sorta di ‘antidoto‘ al problema degli allegati malevoli iMessage che attivano la catena di exploit Blastpass e invita gli utenti a fare lo stesso, senza indugio”, spiega Dal Checco: “proprio perché è stato verificato che questo vettore di attacco non è soltanto teorico ma è stato effettivamente utilizzato in casi reali e che, presto, verranno ulteriormente documentati da CitizenLab“.
“Apple ha reagito prontamente”, conferma Paglia, “rilasciando due CVE e raccomandando a tutti gli utenti di aggiornare immediatamente i loro dispositivi e per quegli utenti che ritengono di essere a rischio di abilitare la modalità Lockdown, che si è rivelata efficace nel bloccare questo specifico attacco”. Ecco di cosa si tratta.
Lockdown mode: a chi è consigliato
Una delle contromisure, secondo Dal Checco, inoltre, “è quella d’impostare il sistema per non ricevere allegati, esattamente ciò che fa il cosiddetto ‘lockdown mode‘, che tra le varie precauzioni impone proprio limitazioni su cosa possono ricevere le applicazioni dello smartphone, bloccando in particolar modo gli allegati”.
“Nel caso di BlastPass”, aggiunge Fabrizio Rendina, “Apple ha confermato come l’attivazione del Lockdown Mode sia efficace contro questo attacco, bloccando l’eventuale codice malevolo presente nelle immagini allegate ad iMessage. L’attivazione di questa funzionalità, benché limiti drasticamente le funzioni dei dispositivi, è comunque consigliata a tutti coloro per i quali sia alto il rischio di subire un attacco cyber, come politici, CEO, VIP, giornalisti”.
Certamente “questa soluzione rende più scomodo l’utilizzo del dispositivo”, avverte Dal Checco, “impedendo buona parte delle attività che quotidianamente svolgiamo, motivo per il quale è riservata a chi è altamente a rischio, come soggetti politicamente esposti”.
Tuttavia “è davvero importante seguire il consiglio riportato nel report, ossia di aggiornare quanto prima il device Apple”, evidenzia Giuseppe Dongu, “e, se si ritiene di appartenere ad una categoria di persone che possa essere fatta oggetto di questo attacco, attivare la modalità Lockdown. Non si può non sottolineare, infine, l’importanza del lavoro di organizzazioni quali Citizen Lab, per contribuire alla cybersecurity e alla protezione delle comunicazioni di chi si occupa di diritti umani”.
Il caso zero-click iPhone dimostra che serve un cambio di paradigma
“Le organizzazioni si trovano ora a dover non solo proteggere le loro infrastrutture da una crescente varietà di minacce cibernetiche, ma anche a navigare in uno scenario globalizzato in cui spionaggio, crimine organizzato e guerra informatica si sovrappongono, creando un panorama di pericoli in costante evoluzione”, continua Iezzi.
In questo contesto, “diventa evidente la necessità di un cambio di paradigma nel mondo della sicurezza informatica. Questo nuovo paradigma richiede un approccio olistico che integri aspetti di previsione, prevenzione e proattività.“, conclude Iezzi: “È necessario creare un sistema resiliente e robusto in grado di adattarsi rapidamente ai cambiamenti nel panorama delle minacce cibernetiche.
In breve, l’era dell’Hyper War richiede un’innovazione radicale nell’approccio alla sicurezza informatica, in cui la reattività e la prevenzione tradizionali non sono più sufficienti“.
“Nell’attuale panorama di minacce in rapida evoluzione”, secondo Riccardo Paglia, “l’importanza di un’analisi dettagliata e di una condivisione delle informazioni sulle nuove vulnerabilità non può essere sottovalutata. La collaborazione tra Citizen Lab e Apple in questo caso è un esempio di come l’industria e la ricerca possano unire le forze per mitigare le minacce in maniera efficace”.
