Nel 2023, i ricercatori di Kaspersky Lab hanno scoperto una vulnerabilità zero-day critica nel sistema operativo mobile di Apple, iOS. Questa falla di sicurezza permetteva di compromettere da remoto qualsiasi iPhone senza alcuna interazione da parte dell’utente, consentendo l’installazione di spyware per rubare dati sensibili.
Kaspersky ha prontamente informato Apple della vulnerabilità; oltre a fornire tutti i dettagli tecnici necessari, come previsto dalle best practice in ambito di responsible disclosure. Ci si aspettava quindi che Apple ricompensasse i ricercatori in base al proprio programma di bug bounty. Il programma prevede premi fino a 1 milione di dollari per la segnalazione di falle di sicurezza di questo tipo.
Tuttavia, come riportato da RTVI, Apple ha rifiutato di pagare il bug bounty a Kaspersky Lab; questo nonostante il valore e la criticità delle vulnerabilità scoperte. La decisione di Apple è stata presa facendo riferimento a non meglio specificate “policy interne“, senza fornire ulteriori spiegazioni o dettagli.
Le vulnerabilità zero-day in iOS
Secondo quanto dichiarato da Dmitry Galov, a capo del centro di ricerca russo di Kaspersky Lab, le falle zero-day scoperte in iOS sono state attivamente sfruttate da cybercriminali nell’ambito di una vasta campagna di spionaggio denominata “Operation Triangulation“.
L’obiettivo di questo attacco era rubare qualsiasi tipo di dato confidenziale dagli iPhone infetti. Tra questi, geolocalizzazione, file, foto, video, registrazioni audio dal microfono e molto altro. Le vittime di Operation Triangulation si trovavano in diversi paesi del mondo e includevano anche diplomatici e staff di ambasciate.
Il vettore d’attacco sfruttava le vulnerabilità zero-click in iOS attraverso messaggi iMessage contenenti exploit. Una volta ricevuti, eseguivano codice malevolo sul dispositivo senza richiedere alcuna azione da parte dell’utente. Ciò rendeva l’attacco estremamente difficile da rilevare e contrastare.
Gli esperti di Kaspersky ritengono che dietro Operation Triangulation ci siano attori molto sofisticati; probabilmente entità statali o contractor che offrono servizi di spionaggio e sorveglianza. Finora non è stato possibile attribuire l’attacco con certezza ad uno specifico paese o gruppo.
Oltre alle vulnerabilità software in iOS, i ricercatori di Kaspersky hanno anche scoperto una feature hardware fino ad ora sconosciuta presente nei SoC (System-on-a-Chip) degli iPhone. Questa funzionalità si è rivelata un elemento chiave per il successo dell’attacco Operation Triangulation.
In particolare, dopo aver sfruttato le falle iniziali in iOS per ottenere un primo accesso al dispositivo ed elevare i privilegi, gli attaccanti hanno utilizzato questa feature hardware per aggirare le protezioni della memoria e prendere il controllo completo dell’iPhone.
Apple riconosce le vulnerabilità ma nega il bug bounty
Dopo la divulgazione pubblica delle vulnerabilità zero-day da parte di Kaspersky Lab lo scorso dicembre, Apple ha rilasciato patch di sicurezza per iOS che risolvono le falle, identificate come CVE-2023-32434 e CVE-2023-32435. Nelle note di rilascio, Apple ha anche ringraziato nominalmente i quattro ricercatori di Kaspersky che hanno scoperto le vulnerabilità.
Nonostante ciò, Apple ha deciso di non pagare il bug bounty previsto dal proprio programma. Per vulnerabilità di questo tipo, il valore può arrivare fino a 1 milione di dollari.
Le falle zero-day scoperte da Kaspersky Lab hanno impattato tutte le versioni di iOS fino alla 15.7, rendendo potenzialmente vulnerabili centinaia di milioni di iPhone nel mondo.
Kaspersky preferisce Android ad iOS
Non è ben chiaro se in seguito alle scoperte di dicembre, ma Kaspersky Lab ha deciso di abbandonare completamente i dispositivi iOS nella sua azienda per passare ad Android. Tutti gli smartphone e tablet aziendali sono stati gradualmente sostituiti con modelli basati sul sistema operativo mobile di Google.
Come spiegato da Dmitry Galov, questa scelta non è dovuta al fatto che Android sia intrinsecamente più sicuro di iOS. Ma al maggior controllo che Android offre in termini di funzionalità di sicurezza. Secondo Dmitry Galov su Android è possibile installare soluzioni di protezione complete in grado di rilevare attività sospette, analizzare file e fornire informazioni utili in caso di incidenti.
Apple Bug Bounty: conclusioni
Il lavoro svolto dai ricercatori di Kaspersky è stato fondamentale per identificare vulnerabilità critiche attivamente sfruttate per installare spyware su larga scala. Senza una pronta segnalazione ad Apple, l’attacco Operation Triangulation avrebbe potuto proseguire indisturbato ancora a lungo.
La decisione di Apple di non riconoscere il bug bounty previsto dal proprio programma, pur avendo confermato e risolto le vulnerabilità segnalate, appare difficile da comprendere e giustificare. Ciò potrebbe scoraggiare in futuro altri ricercatori di sicurezza a segnalare responsabilmente le falle trovate; con potenziali impatti negativi per la sicurezza.
La scoperta di una feature hardware sconosciuta nei SoC degli iPhone e il suo sfruttamento per aggirare le difese pone ulteriori dubbi sulla reale efficacia del modello di “security through obscurity” adottato da Apple. Una maggiore trasparenza e collaborazione con i ricercatori di sicurezza indipendenti potrebbe aiutare a identificare e risolvere più rapidamente questo tipo di vulnerabilità.
