Molto spesso nel mondo della tecnologia si è fatto riferimento alla maggiore sicurezza dei dispositivi Apple, magari anche con un pizzico di verità, tuttavia negli ultimi anni abbiamo visto più volte anche in questo blog che non è del tutto così e che gli hacker sono già riusciti a violare i device dell’azienda americana. Nei giorni scorsi infatti il panorama della cybersicurezza è stato scosso dalla scoperta di DarkSword, un sofisticato “exploit kit” capace di colpire gli iPhone con una precisione e una velocità mai viste prima. Non si tratta del solito virus: DarkSword è uno strumento di sorveglianza di massa che spia la semplice navigazione web.
A differenza dei malware tradizionali, DarkSword non ha bisogno che l’utente clicchi su link sospetti o scarichi allegati, poiché l’attacco avviene tramite la tecnica del “drive-by download”, ciò significa che è sufficiente visitare un sito web compromesso (magari un portale di notizie o un sito istituzionale violato dagli hacker) per far sì che inizi automaticamente l’infezione. La caratteristica più impressionante è quindi la sua velocità, perché l’intero processo di violazione e furto dei dati può completarsi in meno di un minuto. Una volta prelevate le informazioni, il malware si auto-elimina per non lasciare tracce, rendendo quasi impossibile accorgersi dell’avvenuta intrusione. Ciò che permette a DarkSword di essere efficace non è un semplice errore software, bensì una catena di sei vulnerabilità che vengono sfruttate in modo coordinato per scavalcare le difese di Apple.
L’attacco innanzitutto colpisce principalmente i dispositivi con versioni di iOS comprese tra la 18.4 e la 18.7, ed il punto di ingresso è WebKit, ovvero il motore che fa funzionare il noto browser di default degli iPhone Safari. Secondo le analisi di Google e iVerify, dietro questa tecnologia ci sarebbe l’ombra di aziende di sorveglianza commerciale che vendono questi strumenti a governi o enti interessati allo spionaggio mirato. Che a quanto pare avrebbero obiettivi molto alti, visto che DarkSword consente di controllare totalmente le informazioni private contenute nei device e più nello specifico nei messaggi criptati delle app di messaggistica e negli wallet delle criptovalute. Inoltre, tramite questa strategia d’attacco si riesce ad avere accesso anche alle password salvate ed alla cronologia delle geolocalizzazioni, alle foto, ai contatti ed al registro delle chiamate. Tutto, ricordiamolo, in un attacco molto rapido e del quale l’utente non si riuscirebbe neanche ad accorgere.
C’è tuttavia una sorta di dubbio degli esperti in merito al bersaglio di queste campagne veicolate con DarkSword, poiché sebbene le prime campagne siano state individuate in Ucraina, Turchia e Arabia Saudita, il rischio è evidentemente globale. Basti pensare che si stima che circa 270 milioni di iPhone nel mondo siano potenzialmente esposti. La natura “commerciale” di questo exploit kit significa che chiunque abbia il budget necessario può acquistarlo per colpire cittadini con dati sensibili ma anche, e forse soprattutto, può essere usato per colpire e spiare attivisti, giornalisti o figure politiche. Ovviamente però non mancano le misure di sicurezza, a partire dalla più semplice, vale a dire l’aggiornamento di iOS ad una versione più recente e quindi contenente la patch di sicurezza necessaria.
Un’altra operazione che si può fare, dopo aver aggiornato il proprio iPhone alla versione 26.3.1 o, se non compatibile col proprio device, ad una versione successiva alla 18.7, ovvero l’ultima a contenere la vulnerabilità, è attivare anche gli aggiornamenti automatici del sistema operativo, così da evitare i problemi alla radice se dovessero essere scoperte altre falle. Esiste poi l’opzione “Modalità Lockdown”, ovvero la disabilitazione di JavaScript e di altre funzionalità avanzate che bloccano i metodi primari con il quale si diffonde DarkSword. Un altro consiglio è quello di rivedere le policy di utilizzo di iOS a livello aziendale, visto anche che un attacco come questo può andare a segno soltanto visitando pagine web. Infine, va rivisto anche il paradigma del quale abbiamo accennato all’inizio, ovvero quello di stabilire a priori che iOS e Apple sono più sicuri, cosa che non presuppone una sicurezza al 100%.
