giovedì, Dicembre 26, 2024

Un rapporto esplosivo mostra i limiti della sicurezza di iOS e Android

Il mondo oscuro dello spyware privato ha causato a lungo allarme nei circoli della sicurezza informatica, poiché i governi autoritari sono stati ripetutamente colti nel prendere di mira gli smartphone di attivisti, giornalisti e rivali politici con malware acquistato da broker senza scrupoli.

Gli strumenti di sorveglianza forniti da queste aziende spesso prendono di mira iOS e Android, che apparentemente non sono stati in grado di tenere il passo con la minaccia. Ma un nuovo rapporto suggerisce che la portata del problema è molto maggiore di quanto temuto e ha aggiunto ulteriore pressione ai produttori di tecnologia mobile, in particolare Apple, da parte dei ricercatori di sicurezza che cercano rimedi.

Questa settimana, un gruppo internazionale di ricercatori e giornalisti di Amnesty International, Forbidden Stories e più di una dozzina di altre organizzazioni hanno pubblicato prove forensi che un certo numero di governi in tutto il mondo, tra cui Ungheria, India, Messico, Marocco, Arabia Saudita e Emirati Arabi Uniti Emirates: potrebbero essere clienti del famigerato fornitore di spyware israeliano NSO Group. I ricercatori hanno studiato un elenco trapelato di 50.000 numeri di telefono associati ad attivisti, giornalisti, dirigenti e politici che erano tutti potenziali obiettivi di sorveglianza. Hanno anche esaminato specificamente 37 dispositivi infetti o presi di mira dallo spyware invasivo Pegasus di NSO. Hanno persino creato uno strumento in modo da poter verificare se il tuo iPhone è stato compromesso.

Il gruppo NSO ha definito la ricerca “false accuse da parte di un consorzio di media” in una smentita fortemente formulata martedì. Un portavoce del gruppo NSO ha dichiarato: “L’elenco non è un elenco di bersagli Pegasus o potenziali bersagli. I numeri nell’elenco non sono in alcun modo correlati al gruppo NSO. Qualsiasi affermazione secondo cui un nome nell’elenco è necessariamente correlato a un obiettivo Pegasus o il potenziale obiettivo è errato e falso.” Mercoledì, NSO Group ha dichiarato che non avrebbe più risposto alle richieste dei media.

NSO Group non è l’unico fornitore di spyware là fuori, ma ha il profilo più alto. WhatsApp ha fatto causa alla società nel 2019 per quelli che afferma essere attacchi a oltre un migliaio dei suoi utenti. E la funzione BlastDoor di Apple, introdotta in iOS 14 all’inizio di quest’anno, era un tentativo di tagliare gli “exploit zero-click”, attacchi che non richiedono alcun tocco o download da parte delle vittime. La protezione sembra non aver funzionato come previsto; la società ha rilasciato una patch per iOS per affrontare l’ultimo round di presunto hacking del gruppo NSO martedì.

Di fronte al rapporto, molti ricercatori sulla sicurezza affermano che sia Apple che Google possono e dovrebbero fare di più per proteggere i propri utenti da questi sofisticati strumenti di sorveglianza

“Al giorno d’oggi mostra sicuramente le sfide in generale con la sicurezza dei dispositivi mobili e le capacità investigative”, afferma il ricercatore indipendente Cedric Owens. “Penso anche che vedere le infezioni zero-click di Android e iOS da parte di NSO dimostri che gli attaccanti motivati ​​e dotati di risorse possono ancora avere successo nonostante la quantità di controllo che Apple applica ai suoi prodotti e al suo ecosistema”.

Le tensioni sono da tempo bollite tra Apple e la comunità della sicurezza sui limiti alla capacità dei ricercatori di condurre indagini forensi sui dispositivi iOS e distribuire strumenti di monitoraggio. Un maggiore accesso al sistema operativo potrebbe potenzialmente aiutare a catturare più attacchi in tempo reale, consentendo ai ricercatori di ottenere una comprensione più profonda di come tali attacchi sono stati costruiti in primo luogo. Per ora, i ricercatori di sicurezza si affidano a una piccola serie di indicatori all’interno di iOS, oltre al jailbreak occasionale. E mentre Android è più aperto per progettazione, pone anche dei limiti a ciò che è noto come “osservabilità”. Combattere efficacemente spyware di alto livello come Pegasus, affermano alcuni ricercatori, richiederebbe cose come l’accesso per leggere il filesystem di un dispositivo, la capacità di esaminare quali processi sono in esecuzione, l’accesso ai registri di sistema e altri dati di telemetria.

Molte critiche si sono concentrate su Apple a questo proposito, perché l’azienda ha storicamente offerto protezioni di sicurezza più forti per i suoi utenti rispetto al frammentato ecosistema Android.

“La verità è che stiamo mantenendo Apple a uno standard più elevato proprio perché stanno facendo molto meglio”, afferma Juan Andres Guerrero-Saade, principale ricercatore di minacce di SentinelOne. “Android è un free-for-all. Non credo che nessuno si aspetti che la sicurezza di Android migliori al punto in cui tutto ciò di cui dobbiamo preoccuparci sono attacchi mirati con exploit zero-day”.

In effetti, i ricercatori di Amnesty International affermano che in realtà è stato più facile trovare e indagare gli indicatori di compromissione sui dispositivi Apple presi di mira dal malware Pegasus rispetto a quelli con Android di serie.

“Nell’esperienza di Amnesty International ci sono molte più tracce forensi accessibili agli investigatori sui dispositivi Apple iOS rispetto ai dispositivi Android di serie, quindi la nostra metodologia si concentra sul primo”, ha scritto il gruppo in una lunga analisi tecnica dei suoi risultati su Pegasus. “Di conseguenza, i casi più recenti di infezioni da Pegasus confermate hanno coinvolto iPhone”.

Parte dell’attenzione su Apple deriva anche dall’enfasi dell’azienda sulla privacy e la sicurezza nella progettazione e nel marketing dei prodotti.

“Apple ci sta provando, ma il problema è che non ci stanno provando tanto quanto implicherebbe la loro reputazione”, afferma il crittografo della Johns Hopkins University Matthew Green.

Anche con il suo approccio più aperto, tuttavia, Google affronta critiche simili sulla visibilità che i ricercatori di sicurezza possono ottenere nel suo sistema operativo mobile.

“Android e iOS hanno diversi tipi di log. È davvero difficile confrontarli”, afferma Zuk Avraham, CEO del gruppo di analisi ZecOps e da lungo tempo sostenitore dell’accesso alle informazioni del sistema mobile. “Ognuno ha un vantaggio, ma entrambi non sono ugualmente sufficienti e consentono agli attori delle minacce di nascondersi”.

Tuttavia, Apple e Google sembrano entrambi riluttanti a rivelare di più sulla produzione di salsicce forensi digitali. E mentre la maggior parte dei ricercatori di sicurezza indipendenti sostengono il cambiamento, alcuni riconoscono anche che un maggiore accesso alla telemetria del sistema aiuterebbe anche i malintenzionati.

“Sebbene comprendiamo che i registri persistenti sarebbero più utili per usi forensi come quelli descritti dai ricercatori di Amnesty International, sarebbero utili anche per gli aggressori”, ha detto un portavoce di Google in una dichiarazione a WIRED. “Continuiamo a bilanciare queste diverse esigenze.”

Ivan Krstić, capo dell’ingegneria e dell’architettura della sicurezza di Apple, ha dichiarato in una dichiarazione che “Apple condanna inequivocabilmente gli attacchi informatici contro giornalisti, attivisti per i diritti umani e altri che cercano di rendere il mondo un posto migliore. Per oltre un decennio, Apple ha guidato l’industria in innovazione della sicurezza e, di conseguenza, i ricercatori di sicurezza concordano sul fatto che iPhone sia il dispositivo mobile consumer più sicuro e protetto sul mercato. Gli attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per lo sviluppo, spesso hanno una breve durata vengono utilizzati per prendere di mira individui specifici. Anche se ciò significa che non rappresentano una minaccia per la stragrande maggioranza dei nostri utenti, continuiamo a lavorare instancabilmente per difendere tutti i nostri clienti e aggiungiamo costantemente nuove protezioni per i loro dispositivi e dati”.

Il trucco sta nel trovare il giusto equilibrio tra l’offerta di più indicatori di sistema senza rendere inavvertitamente il lavoro degli aggressori troppo più facile. “C’è molto che Apple potrebbe fare in modo molto sicuro per consentire l’osservazione e l’imaging dei dispositivi iOS al fine di catturare questo tipo di cattivo comportamento, ma ciò non sembra essere trattato come una priorità”, afferma il ricercatore di sicurezza iOS Will Strafach. “Sono sicuro che hanno ragioni politiche eque per questo, ma è qualcosa con cui non sono d’accordo e mi piacerebbe vedere cambiamenti in questo modo di pensare”.

Thomas Reed, direttore delle piattaforme Mac e mobili presso il produttore di antivirus Malwarebytes, afferma di essere d’accordo sul fatto che una maggiore comprensione di iOS andrebbe a vantaggio delle difese degli utenti. Ma aggiunge che consentire un software di monitoraggio speciale e affidabile comporterebbe rischi reali. Sottolinea che ci sono già programmi sospetti e potenzialmente indesiderati su macOS che l’antivirus non può rimuovere completamente perché il sistema operativo li dota di questo speciale tipo di fiducia del sistema, potenzialmente in errore. Lo stesso problema degli strumenti di analisi del sistema non autorizzati si presenterebbe quasi inevitabilmente anche su iOS.

“Vediamo anche malware di stato nazionale continuamente sui sistemi desktop che vengono scoperti dopo diversi anni di implementazione non rilevata”, aggiunge Reed. “E questo è su sistemi in cui sono già disponibili molte diverse soluzioni di sicurezza. Molti occhi alla ricerca di questo malware sono meglio di pochi. Mi preoccupo solo di cosa dovremmo scambiare per quella visibilità”.

Il Progetto Pegasus, come il consorzio di ricercatori chiama le nuove scoperte, sottolinea la realtà che è improbabile che Apple e Google risolvano da soli la minaccia rappresentata dai fornitori privati ​​di spyware. La portata e la portata del potenziale targeting di Pegasus indicano che potrebbe essere necessario un divieto globale dello spyware privato.

“Una moratoria sul commercio di software antintrusione è il minimo indispensabile per una risposta credibile, un semplice triage”, ha twittato martedì l’ informatore della sorveglianza della NSA Edward Snowden in risposta alle scoperte del progetto Pegasus. “Qualsiasi cosa in meno e il problema peggiora.”

Lunedì, Amazon Web Services ha fatto il proprio passo chiudendo l’infrastruttura cloud collegata a NSO.

Indipendentemente da ciò che accade a NSO Group in particolare, o al mercato della sorveglianza privata in generale, i dispositivi degli utenti sono ancora il luogo in cui si verificheranno attacchi mirati clandestini da qualsiasi fonte. Anche se non ci si può aspettare che Google e Apple risolvano il problema da soli, devono continuare a lavorare su un modo migliore per andare avanti.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: