La scoperta delle cinque gravi vulnerabilità in iOS, corrette da Apple a febbraio 2019 con il rilascio della versione 12.1.4 del sistema operativo, assume tinte fosche: Cinque attacchi diversi sono stati usati sul web per eseguire codice dannoso in Apple iOS.
Non soltanto le falle di sicurezza sarebbero state sfruttate per ben due anni per spiare gli utenti a loro insaputa ma adesso si scopre che bersaglio delle aggressioni sarebbero stati, ancora una volta, cittadini uiguri, etnia turcofona di religione islamica che vive nel nord-ovest della Cina, continuamente bersaglio di azioni repressive da parte del governo centrale per motivi religiosi e mire indipendentiste.
Così, dopo la scoperta di un Sistema per la sorveglianza di massa che riconosce volti e raccoglie una vasta mole di dati, capace di riconoscere proprio i soggetti uiguri, un gruppo di ricercatori conferma che per un intero biennio sono state allestite pagine web contenenti codice exploit in grado di sfruttare i cinque pericolosi bug di sicurezza di iOS per attaccare proprio la minoranza uigura.
Basti pensare che nell’ultimo anno Pechino avrebbe detenuto più di un milione di uiguri in campi di internamento, secondo quanto riferisce un comitato per i diritti umani delle Nazioni Unite.
I siti web malevoli scoperti dagli esperti del team Project Zero (Google) facevano parte di una campagna atta a gli iPhone con l’installazione di codice maligno semplicemente visitando una pagina web. Gli aggressori avevano quindi modo di accedere liberamente al contenuto degli iPhone, leggere i messaggi e le password delle vittime tracciando la loro posizione in tempo quasi reale.
Questi siti web hanno registrato “migliaia di visitatori” a settimana per almeno due anni, secondo Google.
Gli stessi siti web che prendono di mira gli iPhone sono stati utilizzati anche per colpire gli utenti Android e Windows: la campagna di aggressione con cui sono stati presi di mira gli uiguri ha quindi una portata molto più ampia rispetto a quella inizialmente portata alla luce dai tecnici di Google.
Al momento non è però chiaro quali exploit per Android e Windows siano stati utilizzati per aggredire anche questi sistemi operativi. Certo è che il problema è grave perché se per ben due anni cinque voragini nella sicurezza di iOS sono potute passare inosservate sia ad Apple che ai ricercatori di tutto il mondo, è lecito aspettarsi che falle simili siano state individuate e sfruttate senza sosta dagli stessi enti governativi cinesi.
Ne sapremo di più nei prossimi giorni quando, verosimilmente, verranno condivisi nuovi dettagli.