Tecniche di hacking dell’iPhone a volte sono stati descritti quasi come animali rari e sfuggenti: gli hacker li hanno usati in modo così furtivo e attento contro un numero così piccolo di obiettivi selezionati che sono stati visti solo raramente in natura. Ora una recente ondata di campagne di spionaggio e criminalità informatica ha invece utilizzato quegli stessi strumenti di acquisizione di telefoni, incorporati in siti Net infetti, per hackerare indiscriminatamente migliaia di telefoni. E una nuova tecnica in particolare, in grado di prendere il controllo di centinaia di milioni di dispositivi iOS, è apparsa sul internet in una forma facilmente riutilizzabile, mettendo a rischio una parte significativa degli utenti iPhone di tutto il mondo.
Mercoledì i ricercatori di Google e le società di sicurezza informatica iVerify e Lookout hanno rivelato congiuntamente la scoperta di una sofisticata tecnica di hacking per iPhone nota come DarkSword che hanno visto in uso su siti Net infetti, in grado di hackerare istantaneamente e silenziosamente i dispositivi iOS che visitano quei siti. Anche se la tecnica non influisce sulle versioni più recenti e aggiornate di iOS, funziona contro i dispositivi iOS che eseguono versioni della precedente versione del sistema operativo Apple, iOS 18, che al mese scorso rappresentava ancora quasi un quarto degli iPhone. secondo il conteggio di Apple.
“Un vasto numero di utenti iOS potrebbe vedersi rubare tutti i dati personali semplicemente per aver visitato un sito Net popolare”, afferma Rocky Cole, cofondatore e CEO di iVerify. “Centinaia di milioni di persone che utilizzano ancora dispositivi Apple o versioni di sistemi operativi meno recenti rimangono vulnerabili”.
La campagna di hacking dell’iPhone che ha utilizzato DarkSword è venuta alla luce solo due settimane dopo la rivelazione di un altro toolkit di hacking, ancora più sofisticato e completo, noto come Coruna, utilizzato da quello che Google descrive come un gruppo di spionaggio sponsorizzato dallo stato russo e da altri gruppi di hacker. Sebbene DarkSword sembri essere stato creato da diversi sviluppatori di Coruna, i ricercatori hanno scoperto che period utilizzato dalle stesse spie russe. Come Coruna, anch’esso period incorporato in componenti di siti internet ucraini altrimenti legittimi, tra cui organi di stampa on-line e il sito di un’agenzia governativa, per raccogliere dati dai telefoni dei visitatori.
Tuttavia, altrettanto preoccupante, afferma Matthias Frielingsdorf, cofondatore e ricercatore di iVerify, è che gli hacker che hanno portato avanti quella campagna di spionaggio hanno lasciato il codice DarkSword completo e non oscurato, completo di commenti esplicativi in inglese che descrivono ciascun componente e includono il nome “DarkSword” per lo strumento, disponibile su quei siti affinché chiunque possa accedervi e riutilizzarlo. Questa disattenzione, cube, praticamente invita altri gruppi di hacker advert adottarla e prendere di mira altri utenti iPhone. “Chiunque catturasse manualmente tutte le various parti dell’exploit poteva inserirle nel proprio server internet e iniziare a infettare i telefoni. È semplicissimo”, afferma Frielingsdorf. “È tutto ben documentato. È davvero troppo facile.”
WIRED ha contattato Apple per un commento sui risultati dei ricercatori, ma la società non ha fornito commenti. Google ha rifiutato di commentare oltre il publish sul weblog pubblicato sui risultati di DarkSword.
Secondo Lookout, DarkSword è progettato per rubare dati da iPhone vulnerabili che includono password e foto; registri da iMessage, WhatsApp e Telegram; cronologia del browser; Dati del calendario e delle notice; e persino i dati dell’app Salute di Apple. Nonostante l’apparente focus di spionaggio della campagna di hacking, DarkSword ruba anche le credenziali del portafoglio di criptovaluta degli utenti, suggerendo che gli hacker potrebbero aver svolto una possibile attività secondaria nel crimine informatico a scopo di lucro.
Invece di installare spy ware che persiste sui telefoni degli utenti, DarkSword utilizza tecniche più furtive che sono più spesso viste nei malware “senza file” che in genere prendono di mira i dispositivi Home windows, dirottando i processi legittimi nel sistema operativo di un iPhone per rubare dati. “Invece di utilizzare un carico di spy ware per farsi strada con la forza bruta nel file system, lasciando tonnellate di artefatti di sfruttamento piuttosto facili da rilevare, questo utilizza semplicemente i processi di sistema nel modo in cui devono essere utilizzati”, afferma Cole di iVerify. “E lascia molte meno tracce.”
