Gli utenti Apple sono stati oggetto di un attacco zero day sui loro dispositivi per almeno due anni, secondo un nuovo rapporto
I ricercatori della famigerata divisione Project Zero di Google hanno scoperto un attacco zero day ai danni di iOS e dei suoi utilizzatori. La minaccia ha assunto la forma di un malware nascosto in una pagina web apparentemente autentica, che si installa silenziosamente quando navigata dal dispositivo. Si tratta della seconda serie di falle del genere che Project Zero ha riscontrato su iOS questo mese.
Una volta installato su un dispositivo con iOS 10 e versioni successive, il telefono (o tablet) diventa uno strumento di spionaggio che segnala posizione, contatti, messaggi e simili ogni 60 secondi. Tale telemetria può fornire ai criminali un quadro sorprendentemente ampio di come sia una persona, da sfruttare a loro vantaggio.
La raccolta dei dati non era limitata alle app di Apple. Nei test, il malware era in grado di estrarre i dati dalla maggior parte delle app principali da terze parti, inclusi WhatsApp e Google Maps e, ovviamente, Gmail. L’attacco è già stato debellato, anche se non si sa quanti cellulari siano divenuti preda, né chi ci sia dietro.
Questo scrivono da Project Zero: «Gli utenti comprendono i temi della sicurezza informatica in base alla protezione percepita dei loro dispositivi. Spesso, si è presi di mira perché ci si trova in una determinata zona o si appartiene a un certo gruppo etnico. Tutto ciò che gli utenti possono fare è essere consapevoli del fatto che esiste uno sfruttamento digitale e dunque bisogna tratta smartphone e tablet come parte integrante della vita moderna».
La stragrande maggioranza delle vulnerabilità che Project Zero ha riscontrato erano nel browser Safari, di gran lunga la scelta più popolare tra gli utenti iOS. Il difetto è stato patchato, anche se solo dopo due anni dall’apertura della vulnerabilità. Chi ha una versione precedente alla 12.4.1, deve assolutamente aggiornare.
