Gli hack per iPhone sviluppati dalla società italiana RCS Lab sono stati utilizzati dalle forze dell’ordine in Europa, di fatto uno spyware, sfrutta una varietà di exploit per consentire ai clienti dell’azienda di spiare messaggi privati, estrarre informazioni su contatti e password: l’attacco colpisce più severamente Android, mentre su iPhone l’incidenza, già ritenuta inferiore, può essere addirittura nulla, quindi con nessun rischio per dati e utenti, perché Apple ha già risolto tutte le falle sfruttate dalla spyware italiano di RCS Lab.
I dettagli dello spyware sono stati rivelati dai ricercatori di sicurezza del Threat Analysis Group (TAG) di Google, la cui missione è rilevare e contrastare “l’hacking mirato e sostenuto dal governo”. Google ha affermato di monitorare da anni le attività dei fornitori di spyware commerciali, tra cui RCS Lab.
Oggi, insieme a Project Zero di Google, stiamo dettagliando le funzionalità che attribuiamo a RCS Labs, un fornitore italiano che utilizza una combinazione di tattiche, tra cui download drive-by atipici come vettori di infezione iniziali, per indirizzare gli utenti mobili sia su iOS che su Android
Gli attacchi non sono pericolosi come quelli usati da Pegasus di NSO, poiché quelli RCS richiedono che i proprietari di iPhone siano indotti a fare clic su un link. Tuttavia, l’azienda ha escogitato un modo ragionevolmente intelligente per farlo.
In alcuni casi, riteniamo che gli attori abbiano lavorato con l’ISP del bersaglio per disabilitare la connettività dati mobile del bersaglio. Una volta disabilitato, l’attaccante inviava un link dannoso via SMS chiedendo al bersaglio di installare un’applicazione per recuperare la propria connettività dati. Crediamo che questo sia il motivo per cui la maggior parte delle applicazioni si è mascherata da applicazioni carrier mobili. Quando il coinvolgimento dell’ISP non è possibile, le applicazioni vengono mascherate da applicazioni di messaggistica
Per distribuire l’applicazione iOS, gli aggressori hanno semplicemente seguito le istruzioni ufficiali di Apple solitamente utilizzate per distribuire app interne proprietarie, sfruttando il protocollo itms-services con il seguente file manifesto e utilizzando com.ios.Carrier come identificatore.
La domanda risultante viene firmata con un certificato di una società denominata 3-1 Mobile SRL (ID sviluppatore: 58UP7GFWAA). Il certificato soddisfa tutti i requisiti di firma del codice iOS su qualsiasi dispositivo iOS perché l’azienda è stata iscritta all’Apple Developer Enterprise Program […]
Google afferma di aver trovato esempi di telefoni compromessi in Italia e Kazakistan, ma CNN osserva che RCS rivendica forze dell’ordine europee come clienti, rendendo probabile che anche gli iPhone in altri paesi siano stati hackerati.
Macworld osserva che Apple ha già corretto e risolto da tempo ciascuno degli exploit iOS utilizzati, quindi il vostro iPhone è al momento sicuro, a condizione che abbiate installato almeno iOS 15.2. Di seguito la lista delle vulnerabilità sfruttare dallo spyware di RCS Lab e l’aggiornamento del sistema operativo che le risolve:
- CVE-2018-4344 (alias LightSpeed): iOS 12
- CVE-2019-8605 (alias SockPuppet): iOS 12.3
- CVE-2020-3837 (alias TimeWaste): iOS 13.3.1
- CVE-2020-9907 (alias AveCesare): iOS 13.6
- CVE-2021-30883 (alias Cliccato2): iOS 15.0.2
- CVE-2021-30983 (alias Clicked3): iOS 15.2
Se volete controllare quale versione di iOS è installata sul vostro iPhone è sufficiente andare su Impostazioni > Generali > Informazioni. Per aggiornare, andate su Impostazioni > Generali > Aggiornamento software.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.