Gli iPhone di giornalisti e attivisti nel mondo sono stati presi di mira e controllati sfruttando gli strumenti della società israeliana NSO Group: in particolare un attacco tramite iMessage permetteva di prendere il controllo del terminale a distanza, semplicemente conoscendo il numero di telefono o il nome Apple ID della vittima, inviando un messaggio ad hoc e senza alcun intervento dell’utente.
Apple non solo ha già risolto la falla sfruttata da questo attacco: la multinazionale di Cupertino ha denunciato NSO Group e ha attivato nuovi strumenti e comunicazioni per informare gli utenti colpiti da spyware governativi. È noto che alcuni stati hanno acquistato gli strumenti di NSO Group per spiare giornalisti e attivisti.
Gli esperti di sicurezza del team Project Zero di Google hanno esaminato approfonditamente l’attacco via iMessage di NSO Group, definendolo come uno dei più sofisticati mai visti, talmente evoluto da poter essere paragonato agli strumenti di agenzie di sicurezza e governative.
A differenza dei classici attacchi definiti one-clic non necessita di alcun intervento dell’utente. Come accennato è sufficiente conoscere il numero di telefono della vittima oppure il nome utente dell’account Apple ID. Il messaggio inviato sfrutta una vulnerabilità in uno strumento di compressione usato per riconoscere testo nelle immagini, da qui viene aperto un file PDF malevolo senza che l’utente vittima debba fare nulla, nemmeno un singolo clic.
L’attacco via iMessage di NSO Group viene indicato con il nome ForcedEntry. Mentre gran parte degli attacchi e degli spyware si appoggia su server esterni, rilevabili dal traffico dati, quello in questione è talmente sofisticato che crea nel dispositivo un sistema locale di comando e controllo virtualizzato, rendendolo così ancora più difficile da scoprire. La buona notizia è che in seguito alle numerose proteste nel mondo e alla causa legale avviata da Cupertino, sembra che NSO Group stia valutando di terminare sviluppo e commercializzazione dello spyware Pegasus.
Tutte le notizie di macitynet dedicate alla sicurezza informatica sono disponibili a partire da qui.
