Come difendersi dagli attacchi zero-day su Android e iOS

Un attacco zero-day è un tipo di aggressione informatica sfruttata dai malintenzionati prima che il produttore del software rilasci una patch correttiva. Il termine “zero-day” si riferisce al fatto che gli sviluppatori hanno di fatto zero giorni per risolvere il problema, poiché l’attacco avviene proprio facendo leva su una vulnerabilità non nota in precedenza. Gli attacchi zero-day sono particolarmente pericolosi perché sfruttano falle nelle applicazioni e nei sistemi operativi per le quali non esistono ancora difese.

Un exploit, invece, è il metodo tecnico con cui un attaccante sfrutta una vulnerabilità zero-day per compromettere il sistema della vittima.

In Italia ha destato grande scalpore, a febbraio 2024, la scoperta dello spyware Paragon Graphite che ha utilizzato uno zero-day per aggredire gli smartphone delle vittime attraverso una vulnerabilità di WhatsApp, il noto software per la messaggistica istantanea.

È davvero possibile difendere il proprio dispositivo Android e iOS dagli attacchi zero-day?

L’elevate efficacia di un attacco mirato come quello recentemente sferrato ad alcuni soggetti di elevato profilo utilizzando Paragon Graphite porta a chiedersi se sia effettivamente possibile difendere i propri dispositivi dalle aggressioni zero-day.

È tornato in auge il vecchio consiglio, rispolverato da alcuni sedicenti esperti, con cui si invita a riavviare lo smartphone ogni giorno (fino a qualche tempo fa, si diceva una settimana). Come abbiamo evidenziato a suo tempo, riavviare lo smartphone ogni giorno o una volta alla settimana non è un rimedio contro i tentativi di aggressione né, tanto meno, permette di difendersi dagli attacchi zero-day.

Il suggerimento trae origine dal fatto che alcune minacce informatiche, sviluppate appositamente per i dispositivi mobili, rimanevano in esecuzione soltanto in memoria. In questi casi, evidentemente, un riavvio permette di sbarazzarsi dell’infezione. Ma non è più così, da tempo. I malware sono oggi sviluppati in modo da utilizzare meccanismi di persistenza, così da avviarsi automaticamente a ogni caricamento del sistema operativo. Il riavvio periodico del dispositivo mobile è quindi una misura del tutto inefficace nella stragrande maggioranza dei casi.

Nella maggior parte dei casi, inoltre, agisce ex-post e certamente non è in grado di aiutare a “difendere” il dispositivo e i dati in esso conservati.

Cosa fare per proteggersi

Gli aggiornamenti regolari del sistema operativo e delle applicazioni, uniti a pratiche di sicurezza “intelligenti” come il controllo dei permessi delle app, sono fondamentali per proteggere i dispositivi.

È infatti certamente vero che uno zero-day, come abbiamo osservato nell’introduzione, sfrutta una falla di sicurezza sconosciuta e quindi irrisolta ma nella maggior parte delle situazioni, questo tipo di attacchi sono molto meno frequenti rispetto ad aggressioni che hanno gioco facile puntando su vulnerabilità già note.

Tradotto: attacchi come quello che ha visto protagonista Paragon Graphite sono complessi da rilevare e bloccare. Proprio perché sono posti in essere da realtà che si occupano di scovare vulnerabilità gravi e venderne la possibilità di sfruttamento a enti di polizia, governi e clienti scelti. Sono realtà che non segnalano le lacune di sicurezza scoperte ma che anzi le “fanno proprie” per sviluppare strumenti capaci di integrare meccanismi di aggressione e ottenerne un (elevato) profitto.

Le app antiexploit su Android

Quando si parla di app antiexploit per Android, va detto che spesso, purtroppo, non lavorano a basso livello. Molte di esse si concentrano su misure superficiali, come la protezione contro le app dannose tramite analisi dei comportamenti o controlli sui permessi, ma non intervengono direttamente a livello di sistema operativo, dove si verificano la maggior parte degli exploit.

Le app antiexploit a basso livello sarebbero quelle capaci di monitorare e rispondere a exploit tramite l’analisi dinamica del sistema e l’interazione diretta con il kernel e le librerie critiche. Tuttavia, queste soluzioni non sono comuni nel mercato consumer, anche a causa delle complessità tecniche e dei potenziali impatti sulle performance del dispositivo.

Quindi, la realtà è che molte app antiexploit per Android, sebbene possano offrire un certo livello di protezione, spesso non forniscono una difesa profonda e a livello di sistema. Si tratta di strumenti che sono certamente utili e che possono contribuire a rilevare aggressioni in corso. Sono però ben lungi dall’essere infallibili e non sostituiscono una strategia di protezione completa che includa aggiornamenti regolari, configurazioni di sicurezza solide e una corretta gestione delle app installate.

Alcuni antivirus per Android sono certamente validi, anche nell’ottica di rilevare le app Android che usano permessi pericolosi e bloccare quelle note per essere nocive o potenzialmente tali.

Lockdown mode su iOS

Il sistema operativo Apple integra una speciale modalità di funzionamento, chiamata Lockdown mode che disabilita automaticamente e a basso livello molte delle funzionalità del dispositivo al fine di ridurne la superficie di attacco. Introdotta con il lancio di iOS 16 e iPadOS 16, Lockdown mode è pensata per proteggere i dispositivi da minacce altamente sofisticate, come attacchi mirati e vulnerabilità zero-day.

Ovviamente, com’è facile immaginare, non è per tutti ed è destinata principalmente a chi potrebbe essere un obiettivo di cyberattacchi mirati, come attivisti, giornalisti o altre figure a rischio.

Lockdown mode agisce avvalendosi di un approccio multilivello: blocca le notifiche che potrebbero contenere elementi dannosi, impone restrizioni su allegati e link (come quelli contenenti codici eseguibili o link sospetti), permette soltanto connessioni Web sicure (impedendo altre forme di comunicazione non protetta), disabilita funzionalità come la condivisione dello schermo, la connessione via USB a dispositivi non autorizzati e altre opzioni avanzate.

Non si tratta di una funzione destinata all’uso quotidiano per la maggior parte degli utenti, poiché comporta limitazioni incisive nell’uso delle funzionalità del dispositivo.

Credit immagine in apertura: iStock.com – PixelVista