I ricercatori di sicurezza di Google hanno trovato un numero di siti Web malevoli che, se visitati, possono hackerare l’iPhone dell’ignara vittima sfruttando una serie di bug software di iOS sconosciuti fino a poco tempo fa.
AGGIORNAMENTO: come riportato da diversi esperti di sicurezza a poche ore dalla pubblicazione del report di Google Project Zero, vanno specificate alcune cose. In primis, sembra che il bug abbia colpito anche Android, ma nel report non se ne fa menzione. Inoltre, il Project Zero non ha mai pubblicato la lista di siti malevoli in grado di sfruttare questo bug perché il loro numero è davvero limitato e circoscritto a pochissime regioni nel mondo, Cina in primis. Insomma, a quanto pare la portata di questo bug è molto più limitata di quanto fatto credere inizialmente.
In un post sul blog ufficiale, i membri del Project Zero di Google hanno pubblicato il resoconto completo di questa scoperta, aggiungendo che i siti malevoli sono stati visitati migliaia di volte a settimana da vittime ignare. Gli attacchi sono stati definiti “indiscriminati” e durerebbero da anni.
Ecco le parole di uno dei ricercatori Google: “E’ sufficiente visitare il sito web malevolo per sfruttare l’hack e attaccare l’iPhone. Se l’attacco ha successo, viene installato un malware di monitoraggio continuo sul dispositivo“. I ricercatori confermano che questi siti web hanno hackerato migliaia di iPhone per un periodo di almeno due anni.
In totale, il Project Zero ha scoperto cinque diversi exploit che sfruttano 12 bug di sicurezza, di cui sette coinvolgono direttamente Safari su iPhone. I cinque exploit consentono a chi attacca di avere accesso “root” al dispositivo, praticamente il più alto livello di privilegio possibile su iPhone. Questo significa che l’attaccante può avere accesso a tutte le funzioni del dispositivo, anche a quelle vietate normalmente all’utente. Tradotto in termini pratici, l’hacker potrebbe ad esempio installare app dannose per spiare il proprietario dell’iPhone a sua insaputa.
Google ha dichiarato che, in base alla proprie analisi, queste vulnerabilità sarebbero state sfruttate per rubare foto e messaggi di vari utenti, ma anche per rintracciare la loro posizione in tempo reale. Inoltre, gli hacker hanno probabilmente avuto accesso anche al Portachiavi su iOS, lì dove sono conservate tutte le nostre password. La vulnerabilità di sicurezza è presente da iOS 10 a iOS 12.
Google ha rivelato privatamente ad Apple queste vulnerabilità nel mese di febbraio, dando all’azienda i 90 giorni di tempo per correggere i bug e offrire un aggiornamento correttivo agli utenti. Subito dopo, Apple ha rilasciato iOS 12.1.4 per correggere tutti i problemi riscontrati.
Il consiglio è quindi quello di aggiornare i vostri dispositivi quanto prima all’ultima versione di iOS disponibile. Inoltre, state sempre attenti a email (phishing) e siti web di dubbia provenienza.