Vulnerabilità zero-click in iMessage permette l'esecuzione di codice da remoto sui dispositivi Apple

I ricercatori di Citizen Lab (Università di Toronto) hanno scoperto una nuova aggressione digitale sferrata nei confronti di un gruppo di attivisti nello stato del Bahrein.
Come viene dettagliatamente spiegato nel resoconto pubblicato online i dispositivi mobili degli attivisti coinvolti nell’attacco sono stati bersagliati semplicemente inviando un messaggio malevolo sui loro iPhone.

Gli autori dell’iniziativa hanno fatto leva su un exploit zero-click precedentemente sconosciuto sia ad Apple che alla comunità dei ricercatori.
Un attacco di questo tipo permette di eseguire codice arbitrario sul dispositivo della vittima semplicemente inviando un messaggio, senza che l’utente debba cliccare su alcun elemento in esso contenuto né visualizzare il testo della comunicazione.

La falla di sicurezza risiede ancora una volta in iMessage, l’app di messaggistica istantanea sviluppata da Apple e integrata in tutti i suoi sistemi operativi.
L’exploit in questione riesce a superare il perimetro imposto dalla sandbox BlastDoor provocando in questo caso l’installazione del noto spyware Pegasus sviluppato e commercializzato dall’israeliana NSO Group.

Citizen Lab ha chiamato il nuovo exploit FORCEDENTRY collegando anch’esso a NSO Group, fornitore di soluzioni per la sorveglianza a distanza a governi ed enti pubblici.
Da parte sua NSO Group ha temporaneamente impedito l’utilizzo delle sue tecnologie a diversi clienti governativi a livello globale garantendo di aver avviato una serie di indagini circa il possibile utilizzo improprio dei servizi. Ciononostante, come dimostra l’incidente FORCEDENTRY, le violazioni dei diritti fondamentali e le ingerenze nella sfera personale di singoli individui non accennano a diminuire.

Anzi, FORCEDENTRY dimostra come soggetti di elevato profilo stiano continuano a investire milioni nella ricerca di exploit che permettano di superare anche le difese più articolate e complesse. BlastDoor è una misura di sicurezza che Apple ha introdotto recentemente in iOS 14 ma anche questa difesa è caduta.
BlastDoor ispeziona i messaggi in arrivo su iMessage all’interno di un ambiente sicuro (sandbox) impedendo così a qualsiasi codice dannoso di interagire con il resto del sistema operativo e di accedere ai dati dell’utente.
La nuova funzionalità di sicurezza aveva ottenuto una sostanziale approvazione da parte del team Google Project Zero che aveva spiegato come BlastDoor permetta di scongiurare i classici attacchi basati sulla corruzione del contenuto della memoria.

Quanto emerso con FORCEDENTRY “indica che i clienti di NSO Group sono attualmente in grado di compromettere da remoto tutti i recenti modelli di iPhone e le versioni di iOS più aggiornate“, ha commentato Amnesty International.

Apple invece ha preferito gettare acqua sul fuoco: “condanniamo inequivocabilmente i cyberattacchi contro giornalisti, attivisti dei diritti umani e altri soggetti che contribuiscono a rendere il mondo un luogo migliore. Attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per essere sviluppati, spesso hanno una breve durata e sono utilizzati per colpire individui specifici. Se da un lato ciò significa che non sono una minaccia per la stragrande maggioranza dei nostri utenti, continuiamo a lavorare instancabilmente per difendere tutti i nostri clienti e stiamo costantemente aggiungendo nuove protezioni per i loro dispositivi e dati“.