Apple e il mito dell’ecosistema inespugnabile
“Ciò che fai col tuo iPhone rimane nel tuo iPhone”. Numerosi i visitatori del CES imbattutisi in questo messaggio, presentato a caratteri cubitali bianchi su un enorme pannello nero posto su un edificio di 13 piani. Un’imponente campagna di comunicazione condotta da Apple per pubblicizzare il proprio ecosistema e presentarsi come uno strenuo difensore della privacy.
A neanche tre settimane di distanza l’azienda ha dovuto ammettere la presenza di una falla di sicurezza enorme in FaceTime che rendeva le conversazioni condotte tramite iPhone accessibili a chiunque all’insaputa dell’utente. Informazione seguita a ruota dalla notizia che il sistema operativo MacOSX era vulnerabile a CookieMiner, un malware che hackerava e quindi depredava i portafogli di criptovalute detenuti dagli utenti. E la scoperta di una vulnerabilità zero day sulla nuova versione di macOS, Mojave, fa si che già solo il preludio del 2019 confermi che, quando si tratta di sicurezza, nessuno è invulnerabile. Neanche il marchio con la mela.
“A fronte dell’iniziale base di utenza molto ridotta rispetto a Microsoft, storicamente Apple non era un obiettivo particolarmente attraente per eventuali attacchi. In secondo luogo, il fatto che Apple si sia dotata di un ecosistema chiuso dà luogo ad un’illusione di controllo e immunità agli attacchi. Infine, la tutela della privacy è diventata ormai un argomento commerciale per Apple, che vi fa spesso riferimento, rinsaldando l’equazione Apple = sicurezza nella percezione degli utenti.”
“I cyberattacchi hanno spesso una motivazione pecuniaria” afferma Gueluy. Ne consegue che le vulnerabilità riscontrate sui prodotti Apple sono in aumento, e a volte generano un notevole interesse mediatico, come la violazione di iCloud del 2014 che ha compromesso dati sensibili e privacy di numerose star di Hollywood. “Il caso iCloud è emblematico perché ci ricorda che la sicurezza è una questione di portata globale: tendiamo a pensare spesso in termini di mero hardware (smartphone, tablet, computer), tuttavia tutti i servizi e i dispositivi che utilizziamo sono fonti di rischio aggiuntive,” fa notare Gueluy.
Attualmente, un terzo degli attacchi sono indirizzati ai dispositivi mobili. Android è indubbiamente ancora il sistema operativo più attaccato ma iOS vi è altrettanto soggetto. Ancora prima del caso del CookieMiner presentatosi nel 2019 abbiamo avuto, senza annoverarli con un ordine preciso, ilmalware XCodeGhost che, secondo FireEye, avrebbe infettato oltre 4000 applicazioni presenti nell’App Store, lo spyware Pegasus, il trojan Acedeceiver e persino il ransomware KeRanger.
L’utente Apple, il primo fattore di vulnerabilità
“Tutti gli ecosistemi stanno diventando più affidabili. Oggigiorno il punto di accesso più vulnerabile è l’utente” afferma uno dei ricercatori di sicurezza di Stormshield. In realtà, per limitare i rischi basta adottare alcuni semplici accorgimenti. “Come tutti i produttori di software, Apple ha team specializzati nella risoluzione delle vulnerabilità. L’abitudine più importante nella cybersecurity è aggiornare i sistemi regolarmente”, aggiunge. Come minimo non si dovrebbero mai scaricare allegati sospetti, sarebbe utile impiegare l’autenticazione a due fattori con una password robusta che va modificata regolarmente. E, ovviamente, non si devono installare applicazioni senza conoscerne la fonte. “Idealmente le app andrebbero scaricate dall’App Store o dal sito ufficiale del produttore”, spiega lo specialista di cybersecurity.
Se si vuole evitare di installare un’applicazione malevola, è consigliabile verificare l’identità dello sviluppatore, per vedere se è la stessa di altre applicazioni nello store. Altresì andrebbero consultati i commenti alla app e, ancor più importante, ne andrebbe verificato il prezzo. Se la app è molto meno cara di quanto ci si aspetti, meglio stare all’occhio. “Bisogna adottare la stessa regola che vige in merito al phishing” , conferma Julien Paffumi, Product Marketing Manager di Stormshield. “Se è troppo bello per essere vero, è definitivamente una trappola!”
Esce giá morsa di suo .
Dai Apple, alleati con Microsoft e producete hardware e software insieme. Sarebbe grandioso.
Con tutti gli esempi a disposizione, proprio quello di iCloud che non è una falla di sicurezza -_-
Insomma…
Hanno usato il software ElcomSoft Phone Password Breaker e iBrute che sfruttavano falle di iOS per effettuare un numero illimitato di tentativi per scoprire il codice di accesso
Hanno ottenuto le credenziali degli utenti tramite pishing, infatti se vai sul sito del primo programma vedrai che lo dicono loro stessi che servono le credenziali dell’utente per scaricare il backup, mentre il secondo può solo provare una lista esistente di username e password (quindi almeno un’idea la devi avere e potrebbe non bastare nemmeno).
Ma è una falla, non dovrebbe essere possibile provare con un software infiniti codici per cercare di entrare.
Apple era stata anche avvertita della falla http://www.iphonehacks.com/2014/09/apple-made-aware-icloud-brute-force-hacking-method-six-months-celebrity-photos-leaked.html
Ma il punto è che non hanno ottenuto le credenziali violando iCloud in sé, ma tramite pishing mirato. Se è vero che esisteva quella mancanza di protezione contro i bruteforce, è anche vero che con quel tool le credenziali da provare devi praticamente inserirle a mano, quindi devi almeno avere un’idea di come siano fatte mail e password o è improbabile che tu possa trovare qualcosa.
Ma non credo abbiamo provato a mano uno per uno, online ci sono database appositi per questo tipo di attacchi che uniscono parole comuni, numeri e combinate. Altrimenti sarebbe quasi impossibile.
ps. Chiaramente la gente non utilizza quasi mai passw complesse, quindi questo tipo di attacchi funzionano
In effetti potrebbero anche aver usato un db di password “facili”, ma… davvero centinaia di VIP usano le stesse password banali? Boh, mi sembra strano.
Il falso mito, come tanti su appl