È fondamentale per qualsiasi organizzazione moderna, sia essa un’azienda, un’agenzia governativa, una ONG o altro, disporre di sistemi di comunicazione mobile affidabili e sicuri. Al momento, la scelta è fondamentalmente limitata alla piattaforma Android di Google o agli iPhone di Apple basati su iOS. A prima vista, l’iPhone sembra molto più sicuro: restrizioni sui programmi di terze parti, un mercato altamente controllato, meno malware rispetto ad altre piattaforme… Tuttavia, cerchiamo di capire se le cose stanno davvero così.
iOS è davvero così sicuro?
Negli ultimi anni, grazie al “software di sorveglianza legale” Pegasus, è sempre più frequente leggere notizie di infezioni causate da malware che hanno colpito i dispositivi Apple. Tuttavia, dato che le vittime di Pegasus erano principalmente attivisti, politici e giornalisti, la minaccia è stata trattata più che altro come una leggenda metropolitana: spiacevole, sì, ma così rara e mirata che le probabilità di incontrarla nella realtà erano minime (a meno che non la si andasse a cercare). Poi, però, è arrivata a bussare alla nostra porta: a giugno di quest’anno, vi abbiamo parlato di un attacco diretto al management di Kaspersky che utilizzava il malware Triangulation (a proposito, al prossimo Security Analyst Summit abbiamo in programma di presentare un’analisi dettagliata di questo attacco, se siete interessati, unitevi a noi).
La nostra azienda (che è una società privata) che utilizzava gli iPhone come mezzo standard di comunicazione mobile, ha subito un attacco. Dopo aver condotto un’indagine approfondita e aver rilasciato l’utility triangle_check per la ricerca automatica di segni di infezione, abbiamo creato un’email dedicata a cui le vittime di attacchi simili potessero scrivere. Con il passar del tempo, le e-mail si sono moltiplicate dato che ci sono arrivate anche email da parte di altri utenti di smartphone Apple che dichiaravano di aver trovato segni di infezione sui loro dispositivi. Fidatevi di noi: gli attacchi mirati verso gli iPhone non posso più essere considerati rari.
Una sicurezza illusoria
Paradossalmente, l’affermazione spesso ripetuta che iOS è di gran lunga più sicuro di Android non fa che peggiorare la situazione. Negare pubblicamente la sua vulnerabilità induce le persone a distogliere lo sguardo dal problema. Le persone pensano: “certo, qualcuno è stato infettato, ma sicuramente io no”.
Persino alcuni dei nostri colleghi (di certo non nuovi alla sicurezza informatica) si sono rifiutati di credere di essere stati “triangolati”. Anche dopo che la minaccia è stata resa pubblica, è stato necessario convincere alcuni di loro a controllare il proprio iPhone per verificare se vi fossero tracce di malware e sono rimasti davvero sorpresi nel constatare di essere stati colpiti.
La domanda “perché mai dovrebbero hackerare proprio me?” è confortante, ma pericolosa. I motivi possono essere molteplici. Non è necessario essere un bersaglio interessante per farsi hackerare il telefono. È sufficiente essere parenti di un alto dirigente o di un funzionario governativo. A volte basta partecipare a riunioni o semplicemente essere fisicamente vicini al vero obiettivo dell’attacco. Poi, all’improvviso, ci si ritrova sulla linea di tiro perché dal proprio dispositivo sono trapelate importanti informazioni aziendali.
Il vero problema
Un’analisi più approfondita del mercato delle vulnerabilità (che si tratti di forum darknet o di una piattaforma come Zerodium) rivela che gli exploit per iOS e Android hanno ora un prezzo abbastanza simile. Ciò è rappresentativo di come gli hacker e il loro mercano valutino il livello di sicurezza di questi sistemi. Alcuni exploit per Android sono addirittura più costosi di quelli per iOS. In ogni caso, entrambi i sistemi sono possibili obiettivi.
La vera differenza sta nella disponibilità di strumenti per contrastare gli attacchi. Se gli hacker sfruttano l’ultima vulnerabilità zero-day per aggirare i famosi meccanismi di sicurezza di Apple, non c’è nulla che possiate fare. Molto probabilmente non riuscirete nemmeno a capire cosa sia successo. A causa delle limitazioni del sistema, anche i più esperti avranno difficoltà a capire cosa cercavano esattamente i criminali. Nel frattempo, uno smartphone basato su Android potrebbe essere dotato di una soluzione di sicurezza completa: non solo un antivirus, ma anche una soluzione MDM (mobile device management) che consente di gestire in remoto i dispositivi aziendali.
Se andiamo ancora più nel dettaglio, vediamo che i rinomati vantaggi di iOS in caso di attacco si rivelano in realtà degli svantaggi. La natura chiusa del suo ecosistema, off limits per gli esperti di sicurezza esterni, fa solo il gioco degli hacker. Certo, gli ingegneri di Apple hanno costruito una protezione a prova di bomba: l’utente non può andare per sbaglio su un sito dannoso e scaricare un APK troianizzato, ad esempio. Ma nel caso di hacking dell’iPhone (che, come dimostra la pratica, è alla portata di cybercriminali sofisticati), alle vittime non resta che sperare che Apple venga in suo soccorso. Ammesso, ovviamente, che si renda conto e rilevi tempestivamente l’hackeraggio.
La portata della minaccia
Anche la tesi secondo la quale tutti gli attacchi reali su iOS sono stati finora parte di campagne mirate non rassicura. Si ritiene che l’exploit EternalBlue sia stato sviluppato da un’agenzia governativa e la sua applicazione fosse molto limitata. Poi, però, dopo esser stato reso pubblico dal gruppo Shadow Brokers, è caduto nelle mani dei cybercriminali ed è stato utilizzato per portare a termine l’attacco globale del ransomware WannaCry.
Anche il marketplace di Apple non può più essere considerato inespugnabile. I nostri colleghi hanno recentemente individuato nell’App Store una serie di app fraudolente che, in determinate condizioni, sottraggono dati personali all’utente. Certo, non si tratta ancora di una minaccia massiccia, ma costituisce un precedente: le app con un payload dannoso sono riuscite a eludere i severi controlli di Apple e a essere pubblicate sul suo marketplace ufficiale.
Cosa fare?
Avendo imparato la lezione grazie a Triangulation, noi, come molte altre aziende private e agenzie governative, stiamo abbandonando gradualmente l’uso degli iPhone per fini lavorativi. In alternativa, per il momento, utilizziamo Android dotati della nostra soluzione, che sappiamo essere efficace. Questo non significa che pensiamo che sia più difficile da attaccare. Solo che è più semplice da proteggere ed è certamente più facile individuare i segni di un attacco.
Non si tratta della soluzione definitiva: un add-on a un sistema operativo non è l’ideale. Una soluzione di sicurezza funziona secondo il principio dell’immunità acquisita: protegge da minacce simili a quelle già incontrate. In un mondo perfetto, tutti avrebbero un cellulare con un’immunità innata, che rende inutili le azioni non intenzionali. Ahimè, questo telefono non esiste… ancora
