Il team Google che scova i bug nel software altrui ha segnalato ad Apple il problema. Utenti ignari spiati con la messaggistica, le password e le loro foto alla mercé dei pirati
I ricercatori del gruppo di Threat Analysis Group (TAG) di Google hanno scoperto che era possibile violare i dispositivi iPhone semplicemente facendo visitare alle vittime dei siti malevoli appositamente predisposti. La metodica di attacco parrebbe esser stata efficace per circa due anni ed è venuta alla luce grazie all’investigazione del gruppo Google Project Zero su una campagna di attacco rivolta ad utenti iPhone scoperta ad inizio anno.
Come funzionava l’attacco
Tecnicamente parliamo di attacchi “watering hole” (abbeveratoio, o pozza d’acqua), le cui modalità di esecuzione ricordano quelle di un predatore che aspetta le vittime nei pressi di una pozza d’acqua, conscio del fatto che le vittime verranno a rifocillarsi in quel luogo. Nel nostro caso la pozza d’acqua è rappresentata dal sito web compromesso, mentre le prede sono gli utenti iPhone.
“All’inizio di questo anno, gli esperti del gruppo GoogleThreat Analysis Group (TAG) hanno scoperto un piccolo gruppo di siti Web compromessi. I siti compromessi venivano utilizzati negli attacchi watering hole contro i loro visitatori, utilizzando zero-day per iPhone – si legge nel rapporto pubblicato da Google – Non c’è stata alcuna discriminazione degli obiettivi: semplicemente visitando il sito compromesso era possibile l’esecuzione del codice per attaccare il dispositivo e, in caso di successo, installare un codice per spiare le vittime. Stimiamo che questi siti ricevessero migliaia di visite a settimana”.
Gli attaccanti dietro la campagna individuata da Apple hanno utilizzato almeno cinque catene di exploit (o sequenze di attacco) uniche per compromettere i dispositivi iPhone delle vittime che hanno permesso loro di eseguire il jailbreak remoto del dispositivo e di installare lo spyware. Secondo Google gli attaccanti hanno preso di mira i dispositivi basati sul sistema operativo Apple iOS nelle versioni comprese tra iOS 10 e iOS 12 per circa un biennio. Le catene di exploit sfruttavano 14 diverse vulnerabilità presenti nel sistema iOS di Apple. 7 vulnerabilità interessavano il browser web Safari, 5 vulnerabilità il kernel iOS e 2 erano difetti che consentivano di evadere la sandbox . Il ricercatore Ian Beer, membro del team Project Zero di Google, ha spiegato che solo due delle 14 falle di sicurezza utilizzate nella campagna erano falle vulnerabilità zero-day, ovvero non note alla comunità al tempo dell’attacco. Le falle sono codificate come CVE-2019-7287 e CVE-2019-7286.
La storia delle vulnerabilità
A febbraio i ricercatori di Google hanno rivelato che le due falle zero-day risolte da Apple con il rilascio di iOS 12.1.4 erano state sfruttate in attacchi. La notizia è stata confermata dal team leader del Project Zero, Ben Hawkes, via Twitter, ovviamente non sono stati rivelati dettagli tecnici per evitare che gli attacchi potessero esser fruttati da altri attori mavalevoli.
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.
— Ben Hawkes (@benhawkes) February 7, 2019
La versione Apple iOS 12.1.4 risolse quattro vulnerabilità, due falle in FaceTime e due vulnerabilità che potevano essere sfruttate dagli attaccanti per elevare i privilegi ed eseguire codice arbitrario. La vulnerabilità CVE-2019-7287 risiede nell’IOKit e può essere sfruttata da un’app dannosa per eseguire codice arbitrario con privilegi kernel. La vulnerabilità CVE-2019-7286 affligge il componente Foundation in iOS, e può consentire a un’applicazione dannosa di ottenere privilegi elevati. Beer ha spiegato che il suo team ha segnalato i problemi ad Apple, dando all’azienda un tempo massimo di sette giorni per la loro risoluzione.
L’impianto malware utilizzato nella campagna individuata da Google è in grado di rubare i file di database dalle principali applicazioni di messaggistica come WhatsApp, Telegram e iMessage. Il malware veniva installato a seguito della visita da parte degli utenti di siti malevoli compromessi con una versione vulnerabile del browser Web Safari. Ciò consentiva di fruttare il codice exploit WebKit provando le differenti catene di exploit nel tentativo di compromettere il dispositivo iOS della vittima per ottenere l’accesso root, sfruttando i problemi di escalation di privilegi.
L’impianto utilizzato negli attacchi è stato progettato per rubare dati privati, tra cui foto e posizione GPS in tempo reale. Il codice è anche in grado di accedere ai dati del Keychain del dispositivo (come credenziali, token di autenticazione e certificati). Va sottolineato che il malware non implementa alcun meccanismo di persistenza, è sufficiente resettare il dispositivo per eliminarlo: va però detto che nel frattempo il codice malevolo poteva aver già sottratto informazioni sensibili all’ignaro utente.
Per chi fosse interessato ai dettagli tecnici delle catene di exploit, ecco i link alle analisi pubblicate dai ricercatori di Google:
