Numerosi utenti Apple hanno recentemente segnalato di essere stati presi di mira da elaborati attacchi phishing che coinvolgono ciò che sembra essere un difetto nella funzione di reset della password ID Apple. I dispositivi delle vittime visualizzano decine di notifiche di sistema che impediscono l’uso del terminale fino a quando non si tocca “Consenti” o “Non consentire“.
Qualora la vittima negasse tutte le richieste di modifica password, gli hacker spesso le raggiungono con una chiamata telefonica spacciandosi per il supporto Apple. Gli aggressori affermano che l’account dell’utente è sotto attacco e che il personale della Mela ha necessità di verificare un codice monouso.
Attacco push bombing o MFA fatigue: in cosa consistono le continue richieste di modifica della password ID Apple
Parth Patel è un imprenditore che sta cercando di avviare una startup nel settore delle criptovalute. Il 23 marzo 2024, Patel ha documentato su X una recente campagna phishing come quella descritta nell’introduzione. L’attacco è noto come “push bombing” o attacco “MFA fatigue“: i truffatori abusano di una funzionalità o debolezza di un sistema di autenticazione multi-fattore (MFA) in modo da inondare il dispositivo o i dispositivi della vittima con avvisi per approvare una modifica della password.
“Tutti i miei dispositivi sono esplosi: il mio smartwatch, il notebook, lo smartphone“, ha raccontato Patel a KrebsOnSecurity. “Si tratta della comparsa di notifiche di sistema per approvare un reset della password dell’account, ma non potevo fare null’altro con il mio telefono. Dovevo andare avanti e rifiutare più di 100 notifiche“.
Alcune persone, di fronte a un simile diluvio di notifiche, possono alla fine fare clic su “Consenti” ai continui promemoria di reset della password, solo per poter utilizzare di nuovo il device.
Patel ha raccontato che dopo aver negato tutti i promemoria di reset della password, ha ricevuto una chiamata sul suo iPhone. Il numero apparso sul display era proprio quello reale del supporto Apple: i malintenzionati stavano utilizzato la ben nota pratica che permette la falsificazione dell’ID del chiamante (CID spoofing).
L’obiettivo dei malfattori è quello di innescare l’invio di un codice di reset dell’ID Apple al dispositivo dell’utente sotto forma di messaggio di testo contenente password monouso. Se l’utente fornisce quel codice monouso, gli attaccanti possono reimpostare la password sull’account e bloccare l’utente. Possono anche cancellare a distanza tutto il contenuto dei dispositivi Apple dell’utente.
La chiave di recupero Apple non protegge da qualunque tentativo di attacco
La chiave di recupero è una caratteristica di sicurezza, attivabile opzionalmente, che dovrebbe “aiutare a migliorare la sicurezza dell’account Apple ID“. È un codice di 28 caratteri generato casualmente: l’abilitazione della chiave di recupero dovrebbe disattivare il processo di recupero standard dell’account.
Attivare la chiave di recupero non è un processo semplice e se si dovesse perdere il codice, tutti i dispositivi collegati con l’Apple ID risulteranno inutilizzabili in modo permanente.
Il fatto è che anche attivando la chiave di recupero, la ricezione delle notifiche di sistema non si arresta e può proseguire su tutti i dispositivi collegati con l’ID Apple.
Qual è la radice del problema?
Visitando la pagina “Hai dimenticato la password” di Apple, la Mela richiede l’inserimento di un indirizzo email e che l’utente risolva un CAPTCHA.
Superato questo primo passaggio, la pagina mostra le ultime due cifre del numero di telefono associato all’account Apple. Specificando le cifre mancanti e inviando il modulo, si presenterà effettivamente la notifica di sistema per il reset della password, che l’utente abbia o meno abilitato una chiave di recupero Apple.
Come osserva anche Krebs, quale sistema di autenticazione ben progettato invierebbe decine di richieste di cambio password nel giro di pochi istanti quando l’utente non ha gestito neppure le prime? È verosimile ipotizzare un problema nei sistemi di Apple.
Per il momento, la società guidata da Tim Cook non ha ancora ufficialmente preso posizione a riguardo.