Apple ha rilasciato le versioni aggiornate dei suoi sistemi operativi iOS 14.8, iPadOS 14.8, watchOS 7.6.2 e macOS Big Sur 11.6, oltre a Safari 14.1.2, per correggere due importanti vulnerabilità zero-day già sfruttate attivamente: una di queste, in particolare, ribattezzata ForcedEntry, è anche zero-click e, secondo i ricercatori di Citizen Lab che hanno divulgato i dettagli dell’exploit, è stata sfruttata per spiare alcuni utenti iPhone mediante il famigerato Pegasus prodotto da NSO Group.
Pegasus, lo ricordiamo, è un potente spyware che può attivare la fotocamera e il microfono sul telefonino di un bersaglio in modo da registrare messaggi, testi, e-mail e chiamate, anche se sono inviati tramite app di messaggistica crittografata come Signal.
L’exploit della vulnerabilità ForcedEntry, conosciuta anche con il nome di Megalodon, è stato armato dalla NSO e dato in uso al governo del Bahrain che lo avrebbe sfruttato lo scorso mese di febbraio per spiare i telefonini di nove attivisti politici.
Le due vulnerabilità corrette da Apple con gli aggiornamenti di sicurezza dei propri sistemi operativi e del browser Safari sono le seguenti:
- CVE-2021-30858, identificata nel modulo WebKit. Si tratta di una vulnerabilità di tipo “use after free” che consente agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso. Se sfruttata positivamente, potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti web malintenzionati. Il difetto è stato affrontato con una migliore gestione della memoria.
- CVE-2021-30860 o ForcedEntry, identificata nel modulo CoreGraphics. È una vulnerabilità di tipo integer overflow che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di un documento PDF malevolo appositamente creato. Il bug è stato risolto con una migliore convalida dell’input da parte delle applicazioni.
Pegasus è massacro dei diritti: ecco perché è urgente regolare i software spia
Indice degli argomenti
I dettagli della vulnerabilità ForcedEntry
Secondo quanto riportato dai ricercatori di Citizen lab, che hanno analizzato il telefono di un attivista saudita di cui non hanno rivelato l’identità, la vulnerabilità ForcedEntry rappresenta un grave problema di sicurezza in quanto funziona su tutti i dispositivi Apple e, nel caso specifico, consente a un utente malintenzionato di eseguire codice dannoso semplicemente inviando un messaggio sull’app iMessage.
In particolare, l’exploit riesce a bypassare la nuova funzione di sandbox chiamata BlastDoor che Apple aveva inserito in iOS 14 (e nelle successive versioni 14.4 e 14.6) proprio per prevenire le intrusioni zero-click filtrando i dati non attendibili inviati sull’app di messaggistica installata sui propri dispositivi.
Inoltre, la catena di exploit sfruttata da Pegasus si attiva, senza richiedere alcuna interazione da parte della vittima designata, quando quest’ultima riceve un messaggio di testo contenente un’immagine GIF dannosa che, in realtà, nasconde un file Adobe PSD (Photoshop Document Files) o PDF progettati per bloccare il componente iMessage responsabile del rendering automatico delle immagini.
A questo punto, superata qualunque barriera di protezione, inizia la distribuzione del tool di sorveglianza Pegasus, che offre un accesso quasi completo al contenuto della memoria sul dispositivo della vittima tra cui informazioni e dati personali, foto, messaggi e posizione geografica.
È importante sottolineare, però, che nel caso di spionaggio documentato dai ricercatori di Citizen Lab lo spyware Pegasus è stato veicolato tramite iMessage, ma in realtà l’exploit potrebbe teoricamente funzionare con tutte le app che usano il motore di rendering delle immagini di Apple.
“La nostra ultima scoperta di un altro zero day di Apple impiegato come parte dell’arsenale di NSO Group dimostra ancora una volta che le aziende simili al vendor israeliano stanno facilitando lo sviluppo del cosiddetto dispotismo-as-a-service per le agenzie di sicurezza governative”, hanno affermato i ricercatori di Citizen Lab nel loro rapporto.
“Le app di chat onnipresenti sono diventate un obiettivo importante per gli attori delle minacce più sofisticate, comprese le operazioni di spionaggio condotte da stati nazionali, oppure per le società che sviluppano i loro spyware per poi darli “in prestito” a chiunque ne faccia richiesta. Per come sono attualmente progettate, molte app di chat sono diventate un irresistibile soft target”, hanno aggiunto i ricercatori.
Di fatto, quindi, gli exploit zero-day e zero click, come il nuovo metodo usato dallo spyware Pegasus per infettare invisibilmente un dispositivo Apple senza che la vittima ne sia a conoscenza e senza richiederne l’interazione, sono oro puro per governi, mercenari e criminali che vogliono sorvegliare segretamente i dispositivi dei propri obiettivi designati senza essere rilevati.
Aggiorniamo subito i dispositivi Apple
Come dicevamo, nel suo ultimo bollettino di sicurezza Apple ha pubblicato anche i dettagli di un’altra vulnerabilità zero-day, tracciata come CVE-2021-30858. È l’ultimo di una serie di difetti identificati in WebKit corretti solo quest’anno.
Con questi ultimi due aggiornamenti, la società di Cupertino ha corretto in totale 15 vulnerabilità zero-day dall’inizio dell’anno.
In particolare, vista la gravità della vulnerabilità ForcedEntry e le poche informazioni finora disponibili su come riconoscere eventuali file PDF/PSD o pagine Web malevoli, è importante procedere il prima possibile con l’aggiornamento del sistema operativo sui dispositivi Apple esposti (praticamente tutti, come dicevamo all’inizio) per mitigare qualsiasi potenziale minaccia derivante dallo sfruttamento attivo delle falle.
Questo l’elenco degli aggiornamenti disponibili:
- HT212804: macOS Big Sur 11.6, corregge entrambe le vulnerabilità;
- HT212805: 2021-005 Catalina, corregge solo la vulnerabilità ForcedEntry;
- HT212806: watchOS 7.6.2, corregge solo la vulnerabilità ForcedEntry;
- HT212807: iOS 14.8 and iPadOS 14.8, corregge entrambe le vulnerabilità;
- HT212808: Safari 14.1.2 for Catalina and Mojave, corregge solo la vulnerabilità in WebKit.
Per controllare gli aggiornamenti (e recuperarli automaticamente se non sono ancora stati scaricati automaticamente), è sufficiente seguire queste procedure:
- su iPad e iPhone: andiamo su Impostazioni/Generali/Aggiornamento software;
- su un portatile MacBook o un Mac desktop: accediamo al menu Apple/Preferenze di sistema/Aggiornamento software.
Per gli utenti di dispositivi Apple con versioni di sistemi operativi più vecchie di quelle interessate da questi aggiornamenti, il consiglio che si può dare per difendersi da possibili attacchi (al momento non confermati, ma neppure esclusi) è quello di prestare la massima attenzione quando si apre un documento in formato PDF o PSD sospetto o lo si scarica da siti Web non attendibili.
C’è da dire che attacchi come quello condotto mediante lo sfruttamento della vulnerabilità ForcedEntry sono altamente sofisticati e lo sviluppo degli exploit utilizzati nella catena infettiva può arrivare a costare anche milioni di dollari. Inoltre, hanno spesso una breve durata e mirano a colpire specifici target.
Questo significa che non dovrebbero rappresentare una seria minaccia per la maggior parte degli utenti, ma sappiamo bene che non bisogna mai abbassare la guardia perché il cyber crimine è sempre pronto a colpire in qualsiasi modo e quando meno ci se lo aspetta.
