Attacco hacker iMessage terrificante: Google spiega l’incredibile exploit

NSO E’ finito nella Entity List statunitense per quell’exploit tanto terribile quanto terrificante, insieme al connazionale israeliano Candiru, al russo Positive Technologies e all’PTE. LTD di Singapore.

Quattro società aggiunte di recente all’elenco delle entità sulla base della determinazione che trafficano in strumenti informatici utilizzati per ottenere l’accesso non autorizzato ai sistemi informativi, minacciando la privacy e la sicurezza di individui e organizzazioni in tutto il mondo.

Fra queste NSO Group, un’azienda israeliana (di Herzliya) attiva nel settore informatico e nota per aver inventato lo spyware chiamato Pegasus, che consente di sorvegliare da remoto gli smartphone, è considerata fra le più pericolose.

Uno degli exploit tecnicamente più sofisticati mai visti

Il mese scorso, il Dipartimento del Commercio degli Stati Uniti l’ha aggiunta in una sorta di black list, vietandolo in gran parte dai mercati statunitensi a causa delle prove che forniva spyware a governi stranieri che lo utilizzavano per prendere di mira funzionari governativi, giornalisti, uomini d’affari, attivisti, accademici, e dipendenti delle ambasciate.

LEGGI ANCHE >>> iPhone 13 vs Samsung Galaxy S21, sfida all’ultima velocità: lo scontro sul 5G

Alla fine di novembre, Apple ha presentato un’ingiunzione permanente che vietava a NSO di utilizzare uno qualsiasi dei suoi software, servizi o dispositivi. Google ha spiegato come la società di sorveglianza NSO Group avrebbe sviluppato un exploit che consentirebbe agli utenti del suo software di accedere a un iPhone e installare spyware, senza che un bersaglio faccia mai clic su un collegamento.

LEGGI ANCHE >>> Kena Mobile stuzzica gli utenti con una golosa promo natalizia: 100 giga in più a 1,99 euro

Ora Project Zero (GPZ) di Google ha analizzato un exploit “zero-click” NSO relativamente nuovo per iOS 14.7.1 e versioni precedenti e lo ha ritenuto “uno degli exploit tecnicamente più sofisticati che abbiamo mai visto”.

Incredibile e terrificante. Sono gli aggettivi utilizzati da Ian Beer e Samuel Groß di GPZ, che lo hanno analizzato. L’exploit, infatti, crea un ambiente informatico “strano” emulato all’interno di un componente di iOS. Che gestisce le GIF ma normalmente non supporta le funzionalità di scripting. Questo exploit, addirittura, consente a un utente malintenzionato di eseguire codice simile a JavaScript in quel componente, per scrivere in posizioni di memoria arbitrarie e hackerare in remoto un iPhone.

Anche i ricercatori di sicurezza del Citizen Lab, con sede in Canada, hanno segnalato il bug ad Apple come parte della sua ricerca congiunta con Amnesty International sul pacchetto spyware mobile Pegasus di NSO, che può essere installato dopo aver utilizzato un exploit che effettua il jailbreak di un iPhone.

Lo scorso novembre Apple ha corretto il bug di corruzione della memoria, tracciato come CVE-2021-30860, nel componente CoreGraphics in iOS 14.8. Ma Citizen Lab ha anche condiviso un campione dell’exploit zero-click basato su iMessage di NSO per l’analisi da parte dei ricercatori GPZ: in questo caso l’attacco sfrutta il codice utilizzato da iMessage per supportare le immagini GIF. Il punto di ingresso iniziale per Pegasus su iPhone è iMessage: ciò significa che una vittima può essere presa di mira semplicemente utilizzando il suo numero di telefono o il nome utente dell’ID Apple.

La debolezza esposta da iMessage, spiega l’ultimo report, deriva dalle funzionalità extra abilitate da Apple per le immagini GIF. Apple utilizza un “trucco falso” nella libreria ImageIO di iOS per far sì che le normali immagini GIF continuino all’infinito. Questo trucco introduce anche oltre 20 codec di immagine aggiuntivi, offrendo agli aggressori un