I ricercatori di Google Project Zero hanno individuato all’inizio di quest’anno una diffusa campagna di hacking verso dispositivi IOS, attuata per mezzo di almeno 5 diverse catene di exploit Iphone uniche in grado di eseguire il jailbreak del dispositivo e installare un malware di tipo spyware all’interno dello stesso.
Le catene utilizzano un totale di 14 vulnerabilità , di cui 7 per il browser Safari, 5 vulnerabilità di tipo kernel e 2 sand-box escape.
Soltanto due vulnerabilità sono state classificate come Zero Day (CVE-2019-7287 e CVE-2019-7286), nonostante ciò la campagna è rimasta inosservata per almeno due anni.
Le catene d’infezione erano dedicate a tutti i dispositivi Ios dal lancio di Ios 10 all’ultima versione di Ios 12.
L’attacco veniva perpetrato per mezzo di siti Web compromessi con migliaia di visitatori a settimana, non era indirizzato a un target preciso, qualsiasi Dispositivo IOS(10-12) instaurasse la connessione col sito veniva compromesso senza discriminazioni.
La catena d’infenzione funziona in questo modo:
• L’utente Iphone visita uno dei siti web compromessi attraverso il browser safari
• Viene attivato un exploit Webkit diverso a seconda della catena di compromissione
• Attraverso alcune vulnerabilità gli attaccanti tentano l’escalation di privilegi
• Una volta ottenuti i permessi di root viene installato uno spyware sul dispositivo.
Il malware installato è in grado di estrarre dati quali: foto, video e ogni altro file sul dispositivo, dati di localizzazione, Le conversazioni Whatsapp, Telegram e Imessage (che vengono archiviate in chiaro su un database degli attaccanti).
Inoltre lo spyware è in grado di ottenere anche i Token dei servizi utilizzati, riuscendo a garantire l’accesso agli attaccanti anche dopo la disinstallazione del malware.
L’impianto installato non è tuttavia persistente e quindi un semplice riavvio del dispositivo rimuove la minaccia, come già detto però l’accesso ai servizi utilizzati dal utente (come la mail , servizi google ,ecc) può comunque essere ottenuto dagli attaccanti anche dopo la rimozione dello spyware per via dei token trafugati.
Apple ha risolto tutte le 14 vulnerabilità utilizzate come vettore d’attacco.
Il consiglio è quindi di aggiornare alla versione di IOS più recente disponibile
Scritto da Mattia Vicenzi
Condividi :