Tra le reazioni al report di Amnesty International riguardo l’uso dell’arma di spionaggio digitale Pegasus, ci sono da notare i crescenti dubbio riguardo l’effettiva sicurezza dei dispositivi Apple.
I dubbi nascono dal fatto che di 67 dispositivi analizzati dal report di Amnesty, 34 erano dispositivi iOS e in 23 di essi sono state trovate tracce effettive di violazione.
La stessa fidanzata[1] di Jamal Khashoggi, Hatice Cengiz, il cui iPhone è stato più volte violato da Pegasus nelle settimane successive all’omicidio del giornalista, ha confidato durante una recente intervista ad un media Turco, che era convinta che i dispositivi iOS fossero effettivamente più sicuri.
Alla luce anche dell’accento posto sulla sicurezza dal marketing di Apple, viene dunque spontaneo chiedersi quanto iPhone e iPad siano sicuri veramente.
Proviamo a fare il punto della situazione.
Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti
Dispositivi Apple iOS, sono più o meno sicuri?
Fin dalla loro introduzione sul mercato, i dispositivi iOS sono stati ben circondati da un perimetro di sicurezza che impedisce, tra le altre cose, di installare app al di fuori di quelle scaricate dall’Apple store o di apportare modifiche al sistema operativo. Negli anni questo walled garden è stato spesso violato (procedura detta “jailbreaking”) e la tensione tra produttore e ricercatori infosec è cosa nota.
Il senso del walled garden Apple
Il motivo ufficiale della creazione del walled garden è sempre stato quello di garantire agli utenti un alto livello di sicurezza e un alto standard di User Experience.
Pertanto Apple si è costruita negli anni una reputazione notevole presso media e utenti.
Tuttavia la realtà pare essere meno rosea di quello che sembra, infatti la lista di vulnerabilità passate e presenti anche gravi utilizzate “in the wild” (ossia attivamente sfruttate da malware e jailbreaker) è piuttosto lunga.
Negli ultimi anni Apple ha introdotto diverse novità, sia dal punto di vista strettamente software, sia dal punto di vista organizzativo interno all’azienda.
Le vulnerabilità Pegasus per iOS
Nell’elenco delle vulnerabilità utilizzate da Pegasus compaiono vecchie conoscenze, in particolare exploit del sistema di messaggistica iMessage, la cui storia di vulnerabilità è talmente lunga nel tempo che a inizio di quest’anno Apple stessa ha deciso di correre ai ripari riscrivendo in iOS 14 l’applicazione di messaggistica e introducendo un sistema di sanitizzazione e sandboxing denominato “Blastdoor”[2].
In un impressionante blog post[3], il ricercatore Samuel Groß di Google Project Zero ha effettuato il reverse engineering del nuovo iMessage, spiegando come il nuovo servizio blastdoor effettua di fatto la decodifica dei messaggi in un ambiente sandboxed, compartimentando i processi che hanno i permessi necessari, per esempio, per le comunicazioni di rete, introducendo quindi un sofisticato sistema di protezione che dovrebbe mitigare in modo notevole le conseguenze di eventuali bug non noti. Inoltre un meccanismo di randomizzazione degli indirizzi in memoria e il throttling dell’avvio dei servizi crashati dovrebbero, sulla carta, mitigare in modo sostanziale i rischi di exploit.
Bill Marczak, ricercatore presso Citizen Lab, partner e peer reviewer di Amnesty International, conferma[4] però che tutti questi meccanismi sono risultati insufficienti, infatti le tracce forensi dimostrerebbero che attacchi tramite exploit zero-click su iMessage sono stati portati a termine con successo sia su iOS 14.6 (l’ultima versione disponibile all’epoca) che su versioni precedenti.
Inoltre sia su iOS 14 che sul precedente iOS 13, sono stati sfruttate vulnerabilità delle funzioni di decodifica di immagini (il framework ImageIO), vittima nell’ultimo anno di una lunga lista di bug.
Come si può leggere nel report forense e come ho spiegato nel mio precedente articolo, appaiono vulnerabilità anche in altre applicazioni, come Photos (almeno fino a maggio 2020), Apple Music (2020), Safari, Facetime.
Questa è una breve e probabilmente non esaustiva lista di applicazioni attaccate direttamente da Pegasus (Attack surface) ma dato che gli zero-day hanno generalmente una vita molto breve , perché una volta scoperti tendono ad essere corretti molto velocemente, e dato che quasi sempre serve una catena di vulnerabilità per arrivare all’installazione del malware, per forza di cose il loro numero è nella realtà molto più alto.
Blastdoor, come detto, è uno degli strumenti che Apple ha introdotto per mitigare l’impatto delle vulnerabilità, ma simili approcci di compartimentazione e separazione dei privilegi sono probabilmente diffusi in altre parti del sistema operativo.
Il problema della detection della compromissione
Se dal punto di vista della difesa il sistema forse ha qualche carenza, ben più problematico è l’aspetto della detection. Se non è possibile individuare la minaccia, come si possono studiarne i dettagli? Questo aspetto balza all’occhio dalla lettura del report di Amnesty e, purtroppo, non è specifico di iOS. Anzi. I dispositivi Google sono praticamente impossibili da analizzare, non per la loro chiusura ma viceversa, perché non registrano la maggior parte dell’attività che avviene a livello di sistema operativo e tutte le informazioni potenzialmente utili sono perse quando il dispositivo viene spento o riavviato. E’ una precisa scelta di Google, perché se da una parte aiuterebbe i tecnici della Incident response, dall’altra sarebbe una preziosa miniera di informazioni per gli attaccanti.
Apple per fortuna alcuni dati li registra, per lo più relativi all’attività di rete e ai processi attivati, anche se le ultime versioni di Pegasus sembra effettuassero dei tentativi di pulizia dei log.
Poca trasparenza, poca collaborazione da Apple
E dal punto di vista organizzativo interno all’azienda che cosa si può dire?
La lunga lista di bug corretti recentemente non dà la lettura completa del processo di scoperta, studio e correzione delle vulnerabilità. E’ tra l’altro notizia di questa settimana il rilascio della revisione 14.7.1 di iOS che chiude il 13esimo bug zero day dall’inizio dell’anno.
Apple, fix iOS per uno zero day: ma per smartphone sicuri bisogna fare di più
Purtroppo in questo le voci non sono positive.
Intanto da sempre si imputa ad Apple la scelta di non collaborare volentieri con i ricercatori di sicurezza indipendenti. Fino all’anno scorso, prima cioè dell’introduzione dell’Apple Security Research Program, i ricercatori indipendenti, sia white hat che black hat, erano ostacolati dall’impossibilità di eseguire tool di debug sui dispositivi, ad esempio, per effettuare il fuzzing delle applicazioni o per studiare i crashdump. Per comprendere dunque il funzionamento di una parte del software in seguito per esempio a un input non standard, era necessario fare un reverse engineering del codice, o procedere per tentativi.
Ciò impediva ovviamente ai ricercatori di costruire exploit, ma anche di comprendere la reale portata di una vulnerabilità. Ciò costituiva un grandissimo disincentivo per i ricercatori che agivano per scopo difensivo e di ricerca pura, e anche per gli analisti di malware, ma non scalfiva minimamente l’incentivo di chi aveva intenti offensivi; anzi. Paradossalmente probabilmente faceva lievitare in modo enorme la domanda di exploit non segnalati ad Apple.
A fronte delle critiche appunto l’anno scorso Apple ha deciso di aprire per un gruppo di ricercatori con credenziali e referenze la possibilità di accedere a speciali edizioni dei dispositivi con versioni modificate del firmware e dell’hardware. Ad esempio con questi SRD (Security Research Device) è possibile installare ed eseguire software con i livelli di privilegio del sistema operativo, debuggare le interfacce RF, utilizzare JTAG e così via[5].
Non è chiaro quanto questo abbia influito sull’aumento di bug zero-day riscontrati, anche perché il programma è iniziato da pochissimo (pare che i primi esemplari siano stati consegnati alla fine del 2020) e c’è ovviamente strettissimo riserbo riguardo i dettagli.
Viene tuttavia da chiedersi quanto sia difficile per un’agenzia ben organizzata e ben dotata di fondi accedere a tale programma magari attraverso aziende compiacenti.
Il mercato degli zero day è fiorente. Nel 2016 l’FBI cercò di forzare la mano ad Apple per poter avere la possibilità di decrittare il contenuto del dispositivo di un terrorista interno. La causa fu abbandonata dalla stessa FBI quando, pare, riuscì ad ottenere dal mercato nero un exploit zero day di Mozilla, per la cifra di 900,000 dollari[6].
Di contro, nonostante questa apertura Apple pare non voglia farsi amare dai ricercatori bene intenzionati. Non capita di rado che chi partecipi ai Bug Bounty si lamenti della poca collaborazione e della pessima comunicazione da parte del produttore, e che spesso il livello di gravità dei bug sia arbitrariamente abbassato, almeno finché il bug non risulta attivamente utilizzato “in the wild”. Così almeno trapela da indiscrezioni rilasciate al Washington Post[7] da impiegati Apple sotto anonimato.
Molto indicativa è la storia di iMessage. Uno dei problemi più critici della sicurezza di iMessage è la possibilità di ricevere messaggi inviati da sconosciuti senza che vi sia un consenso da parte dell’utente. Chiunque può inviare a chiunque un messaggio, questo verrà aperto interpretato e processato da iMessage.
E’ una vulnerabilità sostanziale della app, abbastanza basilare anche, che Signal stesso di recente ha provveduto a chiudere richiedendo che prima di aprire un messaggio l’utente debba confermare di voler accettare pacchetti dal mittente sconosciuto.
Da anni viene chiesto una simile modifica per iMessage, ma senza alcun esito.
“E’ una situazione in cui si lavora sempre con un deficit di informazioni” ammette il dipendente Apple nell’articolo del Washington Post. “Con avversari ben dotati di risorse, i rischi sono alti”.
Dunque, un problema non solo tecnico ma anche organizzativo. Ma la soluzione non è semplice. Invitato ad un commento, Costin Raiu, direttore del team di ricercar e analisi di Karspersky Lab, afferma che il processo di apertura porta sicuramente frutti nel lungo periodo, ma richiede un grandissimo coraggio perché inevitabilmente la trasparenza porta a critiche e perdita di consensi.
Connclusioni
Che conclusioni possiamo trarre?
Nessuna di definitiva. Come detto, Apple è attualmente sotto critica, e ciò probabilmente avrà l’effetto di spingere ad un maggior impegno nel gestire in particolare le procedure di test e correzione. D’altro canto, se Apple piange Google non ride, in quanto la situazione per Android è ancora più complessa e confusa.
Non si deve infatti trascurare che, non essendoci la possibilità di analizzare a fondo i dispositivi Android, non possiamo assumere che essi non siano altrettanto, o forse ancor più, esposti e vulnerabili. Se si aggiungono i problemi con la frammentazione dei produttori che spesso non riescono a garantire supporto per i bug più critici per i sistemi operativi più vecchi, di certo non si può esser fiduciosi.
E dunque, indipendentemente dal sistema che utilizziamo, applichiamo gli aggiornamenti appena arrivano e prendiamo le solite precauzioni.
[1] https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
[2] https://9to5mac.com/2021/01/28/apple-adopts-new-blastdoor-security-system-on-ios-14-to-reinforce-imessage-integrity/
[3] https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html
[4] https://www.businessinsider.com/apple-iphone-major-security-issue-according-to-new-report-2021-7?r=US&IR=T
[5] https://srd.cx/apple-security-research-device-cohort-2021/
[6] https://www.computerworld.com/article/3615670/details-of-how-the-feds-broke-into-iphones-should-shake-up-enterprise-it.html
[7] https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
