Apple ha rilasciato un aggiornamento di sicurezza urgente per gli utenti di Mac, iPhone, iPad e Watch dopo che i ricercatori di Citizen Lab hanno scoperto un exploit zero-day e zero-click della società di spyware mercenaria NSO Group che offre agli aggressori pieno accesso alla fotocamera, al microfono e ai messaggi di un dispositivo , SMS, e-mail, chiamate e altro ancora.
Citizen Lab ha affermato in un rapporto che la vulnerabilità – etichettata come CVE-2021-30860 – colpisce tutti gli iPhone con versioni iOS precedenti alla 14.8, tutti i computer Mac con versioni del sistema operativo precedenti a OSX Big Sur 11.6, Security Update 2021-005 Catalina e tutti gli Apple Watch precedenti a watchOS 7.6.2.
Apple ha aggiunto che riguarda tutti i modelli di iPad Pro, iPad Air 2 e successivi, iPad di quinta generazione e successivi, iPad mini 4 e successivi e iPod touch di settima generazione generazione.
CVE-2021-30860 consente l'esecuzione di comandi quando i file vengono aperti su determinati dispositivi. Citizen Lab ha osservato che la vulnerabilità darebbe accesso agli hacker senza che la vittima faccia clic su nulla. Citizen Lab in precedenza ha mostrato che i governi repressivi in Bahrain, Arabia Saudita e altri hanno utilizzato gli strumenti del gruppo NSO per tenere traccia di critici, attivisti e oppositori politici del governo.
Ivan Krstić, capo di Apple Security Engineering and Architecture, ha dichiarato a ZDNet che dopo aver identificato la vulnerabilità utilizzata da questo exploit per iMessage, Apple “ha rapidamente sviluppato e implementato una correzione in iOS 14.8 per proteggere i nostri utenti”.
“Vorremmo elogiare Citizen Lab per aver completato con successo il lavoro molto difficile di ottenere un campione di questo exploit in modo da poter sviluppare rapidamente questa correzione. Gli attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per lo sviluppo, spesso hanno un breve durata di conservazione e sono utilizzati per colpire individui specifici”, ha detto Krstić.
“Sebbene ciò significhi che non rappresentano una minaccia per la stragrande maggioranza dei nostri utenti, continuiamo a lavorare instancabilmente per difendere tutti i nostri clienti e aggiungiamo costantemente nuove protezioni per i loro dispositivi e dati.”< /p>
John Scott-Railton, un ricercatore senior presso Citizen Lab, ha parlato su Twitter per spiegare ciò che lui e il ricercatore senior del Citizen Lab Bill Marczak hanno scoperto e riferito ad Apple. Hanno scoperto che la vulnerabilità è in uso almeno da febbraio. Apple ha attribuito loro il merito di averlo scoperto.
“A marzo, il mio collega Bill Marczak stava esaminando il telefono di un attivista saudita infetto dallo spyware Pegasus. Bill ha fatto un backup in quel momento. Una recente rianalisi ha prodotto qualcosa di interessante: file “.gif” dall'aspetto strano. i file “.gif”… erano in realtà file Adobe PSD e PDF… e sfruttavano la libreria di rendering delle immagini di Apple. Risultato? Exploit silenzioso tramite iMessage. La vittima non vede *niente,* nel frattempo Pegasus viene installato silenziosamente e il loro dispositivo diventa un spia nelle loro tasche”, ha spiegato Scott-Railton.
“NSO Group afferma che il loro spyware serve solo a prendere di mira criminali e terroristi. Ma eccoci di nuovo qui: le loro imprese sono state scoperte da noi perché sono state usate contro un attivista. La scoperta è un inevitabile sottoprodotto della vendita di spyware a despoti spericolati. Popolare le app di chat sono il ventre molle della sicurezza dei dispositivi. Sono presenti su ogni dispositivo e alcune hanno una superficie di attacco inutilmente ampia. La loro sicurezza deve essere una priorità *massima*.”
In un rapporto più lungo sulla vulnerabilità , i ricercatori di Citizen Lab hanno affermato che è “l'ultimo di una serie di exploit zero-click collegati a NSO Group”.
Il gruppo NSO ha subito un contraccolpo significativo a livello globale dopo che i ricercatori hanno scoperto che governi, criminali e altri stavano usando il suo spyware Pegasus per tracciare tacitamente migliaia di giornalisti, ricercatori, dissidenti e persino leader mondiali.
“Nel 2019, WhatsApp ha corretto CVE-2019-3568, una vulnerabilità a zero clic nelle chiamate WhatsApp che il gruppo NSO ha utilizzato su oltre 1.400 telefoni in un periodo di due settimane durante il quale è stata osservata, e in 2020, NSO Group ha utilizzato l'exploit iMessage zero-click di KISMET”, hanno affermato i ricercatori.
Hanno detto che la loro ultima scoperta “illustra ulteriormente che aziende come NSO Group stanno facilitando il 'dispotismo come servizio' per agenzie di sicurezza governative irresponsabili”.
“La regolamentazione di questo mercato in crescita, altamente redditizio e dannoso è assolutamente necessaria”, hanno aggiunto.
Reuters ha riferito che da quando le preoccupazioni sul gruppo NSO sono state sollevate pubblicamente all'inizio di quest'anno, l'FBI e altre agenzie governative di tutto il mondo hanno aperto indagini sulle loro operazioni. Il gruppo NSO ha sede in Israele, spingendo il governo locale ad avviare le proprie indagini sulla società.
La società ha progettato strumenti per aggirare specificamente la difesa BlastDoor di Apple che è stata implementata in iMessage per proteggere gli utenti.
Ryan Polk, consulente politico senior della Internet Society, ha dichiarato a ZDNet che il caso Pegasus-NSO è una prova delle terribili conseguenze poste dalle backdoor di crittografia.
“Gli strumenti creati per violare le comunicazioni crittografate corrono intrinsecamente il rischio di cadere nelle mani sbagliate, mettendo in pericolo tutti coloro che si affidano alla crittografia. Immagina un mondo in cui strumenti come Pegasus sono integrati in ogni app o dispositivo, tuttavia, a differenza di adesso , le aziende non hanno la possibilità di rimuoverli e tutti gli utenti sono presi di mira”, ha affermato Polk.
“La crittografia end-to-end protegge tutti, in particolare quelli appartenenti a comunità vulnerabili, come giornalisti, attivisti e membri della comunità LGBTQ+ nei paesi più conservatori.”
Nel 2016, la società di sicurezza informatica Lookout ha collaborato con Citizen Lab per scoprire Pegasus. Hank Schless, senior manager delle soluzioni di sicurezza di Lookout, ha affermato che lo strumento ha continuato a evolversi e ad assumere nuove funzionalità.
Ora può essere implementato come exploit zero-click, il che significa che l'utente di destinazione non deve nemmeno toccare un collegamento dannoso per installare il software di sorveglianza, ha spiegato Schless, aggiungendo che mentre il malware ha modificato i suoi metodi di consegna, la catena di exploit di base rimane la stessa.
“Pegasus viene consegnato tramite un collegamento dannoso che è stato socialmente progettato per l'obiettivo, la vulnerabilità viene sfruttata e il dispositivo viene compromesso, quindi il malware viene comunicato a un server di comando e controllo (C2) che dà all'attaccante il dominio libero sul dispositivo. Molte app creeranno automaticamente un'anteprima o una cache dei collegamenti per migliorare l'esperienza dell'utente”, ha affermato Schless.
“Pegasus sfrutta questa funzionalità per infettare silenziosamente il dispositivo.”
Ha aggiunto che NSO ha continuato a sostenere che lo spyware è venduto solo a una manciata di comunità di intelligence all'interno di paesi che sono stati controllati per violazioni dei diritti umani. Ma la recente esposizione di 50.000 numeri di telefono collegati agli obiettivi dei clienti del gruppo NSO è stata sufficiente per vedere attraverso ciò che afferma NSO, ha aggiunto.
“Questo esemplifica quanto sia importante sia per gli individui che per le organizzazioni aziendali avere visibilità sui rischi che presentano i loro dispositivi mobili. Pegasus è un esempio estremo, ma facilmente comprensibile. Ci sono innumerevoli pezzi di malware là fuori che possono facilmente sfruttare dispositivi e software noti vulnerabilità per ottenere l'accesso ai dati più sensibili”, ha detto Schless a ZDNet.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Governo iPhone Mobilità Hardware Smartphone Tablet 