I ricercatori di ZecOps hanno annunciato quest’oggi la scoperta di due pericolose vulnerabilità di sicurezza in iOS che sono già state sfruttate per sferrare attacchi nei confronti di alcuni soggetti di elevato profilo.
Le problematiche in questione sono presenti anche in iOS 12 e iOS 13; inoltre, l’introduzione risalirebbe addirittura a iOS 6, distribuito a partire dal mese di giugno 2012.
Esposta a rischi di attacco è l’app Mail di Apple: gli aggressori possono arrivare a eseguire codice arbitrario sui dispositivi iPhone e iPad degli utenti avendo pieno accesso al contenuto delle email, con la possibilità di impossessarsene, modificarle e cancellarle.
Combinando le due vulnerabilità con una falla a livello kernel, si spiega da ZecOps, gli aggressori sono oggi in grado di assumere pieno possesso dell’altrui dispositivo iOS.
Nel complesso, le falle vengono presentate come “0-click” perché l’attacco può andare a buon fine, almeno nel caso di iOS 13, senza alcun intervento da parte dell’utente vittima.
Secondo ZecOps aggressioni finanziate da alcuni enti governativi sarebbero in corso già da gennaio 2018 e ad oggi sono stati individuati diversi soggetti di elevato profilo caduti nelle maglie dei criminali informatici: vengono citati manager appartenenti alle aziende nordamericane (lista Fortune 500), uno dei responsabili di una delle più grandi aziende di telecomunicazioni del Giappone, un personaggio di spicco residente in Germania, diversi MSSP (Managed Security Service Provider) operativi in Israele e Arabia Saudita, un giornalista europeo e verosimilmente anche un manager di una nota società svizzera.
Tutti i dispositivi iOS 6 e successivi, compresi quelli più recenti, sono da considerarsi potenzialmente aggredibili. In iOS 12 gli utenti devono cliccare sull’email malevola affinché l’attacco vada a buon fine mentre in iOS 13 ciò – come evidenziato in precedenza – non è neppure necessario.
Fintanto che il problema di sicurezza non verrà risolto (Apple ha confermato di essere al lavoro per rilasciare una patch correttiva nel più breve tempo possibile), il suggerimento è quello di sostituire temporaneamente l’app Mail con client alternativi quali Outlook o Gmail.
Gli enti governativi o le agenzie di spionaggio che hanno finanziato gli attacchi devono aver fatto investimenti importanti se si pensa che vulnerabilità zero-day attivabili con un solo clic da parte dell’utente-vittima sono state precedentemente valutate tra 500mila e 1,5 milioni di dollari.