I cinesi hanno sfruttato una falla di iOS rivelata nel corso di eventi tipo Pwn2Own – l’annuale competizione per individuare vulnerabilità in vari sistemi, con ricchi premi per chi riesce a mostrare potenziali problemi – per spiare gli uiguri, una minoranza di musulmana che risiede principalmente nella vasta regione dello Xinjiang, nel nord ovest del Paese.
Hacker cinesi white-hat (esperti di sicurezza che aiutano a prendere coscienza di un problema di sicurezza nel rispetto dell’etica degli hacker in contrapposizione a chi viola illegalmente sistemi informatici), hanno più volte partecipato all’annuale competizione Pwn2Own rivelando l’esistenza di falle e vulnerabilità zero-day che vengono poi risolte dai produttori dei vari sistemi operativi e applicazioni varie con degli aggiornamenti.
Il MIT Technology Review riferisce che nel 2017 il CEO di una grande azienda cinese del mondo IT ha accusato i partecipanti cinesi a questi eventi di “tradimento”.
Il fondatore e CEO di Qihoo 360, azienda cinese specializzata in cybersicurezza, ha pubblicamente criticato i connazionali che si sono recati all’estero per prendere parte alla competizione per hacker. In una intervista con il sito cinese Sina, scrive MIT Technology Review, «Zhou Hongyi ha riferito che il buon andamento in questi eventi rappresenta un successo “immaginario”, avvertendo che quando gli hacker cinesi mostrano le vulnerabilità, queste “non possono essere più usate”. Al contrario, sostiene Hongyi, gli hacker e le loro conoscenze devono rimanere in Cina, evidenziando l’importanza e il “valore strategico” delle vulnerabilità software.
In effetti il governo cinese ad un certo punto ha vietato ai connazionali di partecipare a questi eventi, creando un proprio contest per l’hacking. Il primo di questi eventi in Cina si è svolto nel novembre del 2018, assegnando un premio di 200.000$ al ricercatore Qixun Zhao di Qihoo 360 che aveva mostrato una serie di exploit che permettevano di controllare gli iPhone; partendo da Safari aveva individuato una debolezza nel kernel di iOS che permetteva ad un attacker di controllare un iPhone sfruttando una pagina web malevola costruita ad hoc, un hack che vale potenzialmente milioni di dollari e che può essere sfruttato da cybercriminali e governi per spiare obiettivi vari.
La vulnerabilità individuata dal ricercator e cinese nel 2018 è stata denominata Chaos. Apple ha risolto il problema alcuni mesi dopo con gli aggiornamenti di sistema ma a quanto pare nel frattempo è stata sfruttata dai cinesi per spiare iPhone degli uiguri. Appena appresa l’esistenza della vulnerabilità, l’intelligence cinese si è immediatamente attivata e l’ha usata contro le minoranze etniche musulmane nella regione di Xinjiang, muovendosi velocemente, prima che Apple risolvesse il problema, consapevole che non vi sarebbe stata alcuna conseguenza evidente per lo sfruttamento della vulnerabilità.
Hacker ed esperti di sicurezza che lavorano per conti di governi allo scopo di penetrare nei sistemi di altri stati e ottenere informazioni riservate da vittime varie, non sono una novità. Falle non note sono preziose, e valgono decine di migliaia di dollari, prezzi spesso superiori ai compensi pagati dalle aziende per chi segnala loro bug, informazioni che corrispondono ad un bottino prezioso, sfruttate dall’agenzia di intelligence per le proprie operazioni.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
