Il software di sorveglianza israeliano Pegasus prende di mira i dati cloud su iPhone infetti

La società israeliana NSO Group afferma che il suo strumento di sorveglianza multimilionario aggiornato, chiamato Pegasus, ora può anche estrarre dati da servizi cloud come iCloud, Google Drive e Facebook Messenger, tra gli altri, da un iPhone o uno smartphone Android infetto.

Secondo un rapporto di paywall pubblicato ieri da The Financial Times, l'app funziona sugli ultimi smartphone iPhone e Android, sfruttando gli exploit per continuare a funzionare anche dopo che lo strumento è stato rimosso dall'utente.

Si dice che la nuova tecnica copi le chiavi di autenticazione di servizi come Google Drive, Facebook Messenger e iCloud, tra gli altri, da un telefono infetto, consentendo a un server separato di impersonare il telefono, compresa la sua posizione. Ciò garantisce l'accesso illimitato ai dati cloud di tali app senza "richiedere la verifica in due passaggi o avvisare l'e-mail sul dispositivo di destinazione", secondo un documento di vendita.

Il furto di token di autenticazione è una vecchia tecnica per ottenere l'accesso all'account cloud di qualcuno senza bisogno di nome utente, password o codici di verifica in due passaggi. A differenza delle chiavi di crittografia utilizzate da iOS per proteggere i dati locali, questi token di autenticazione non sono archiviati nell'enclave sicura di Apple, che è isolata dal resto del sistema.

Ecco la risposta di Apple:

iOS è la piattaforma informatica più sicura e protetta al mondo. Sebbene possano esistere alcuni strumenti costosi per eseguire attacchi mirati su un numero molto piccolo di dispositivi, non riteniamo che siano utili per attacchi diffusi contro i consumatori.

Curiosamente, Apple non nega che una tale capacità possa esistere. Il gigante della tecnologia ha aggiunto che aggiorna regolarmente il suo sistema operativo mobile e le impostazioni di sicurezza per proteggere gli utenti.

Mentre il gruppo NSO ha negato la promozione di strumenti di pirateria informatica o di sorveglianza di massa per i servizi cloud, non ha negato specificatamente di aver sviluppato la capacità descritta nei documenti.

Fondamentalmente, lo strumento funziona su qualsiasi dispositivo "che Pegasus può infettare".

Un documento di presentazione della società madre della NSO, Q-Cyber, che era stato preparato per il governo dell'Uganda all'inizio di quest'anno, pubblicizzava la capacità di Pegasus di "recuperare le chiavi che aprono i depositi cloud" e "sincronizzare ed estrarre i dati in modo indipendente".

Avere accesso a un "endpoint cloud" significa che gli intercettatori possono raggiungere "contenuti lontani e al di sopra dello smartphone", consentendo alle informazioni su un obiettivo di "inserirsi" da più app e servizi, ha affermato la proposta di vendita. Non è ancora chiaro se il governo ugandese abbia acquistato il servizio, che costa milioni di dollari.

Accetta le affermazioni del gruppo NSO con un pizzico di sale.

Questa non è la prima volta che qualcuno fa affermazioni audaci in merito all'esclusione delle funzionalità di sicurezza dei chip progettati da Apple e del software iOS che alimenta iPhone e iPad. È vero che le forze dell'ordine non evitano di pagare milioni di dollari in tasse per i diritti di utilizzo di tale software. È anche vero che l'FBI alla fine si rivolse a Pegasus per sbloccare un telefono appartenente al tiratore di San Bernardino. Tuttavia, è anche vero che questo era un vecchio iPhone senza il coprocessore crittografico Secure Enclave di Apple che fornisce la crittografia completa del disco e protezioni hardware per le chiavi di crittografia del disco.

Tuttavia, strumenti come Pegasus potrebbero essere stati utilizzati per hackerare anche i moderni iPhone, ma questo perché i loro proprietari erano abbastanza sciocchi da installare un'app canaglia che includeva malware. Altre tecniche includono l'installazione di una VPN invisibile per sniffare il traffico di rete, decifrare un passcode debole o sfruttare una svista importante da parte di un utente che può aprire un vettore di attacco.

Pegasus non sembra sfruttare una vulnerabilità di iOS per accedere ai dati del cloud.

Uno dei documenti di presentazione offriva un modo vecchio stile per contrastare questo tipo di intercettazione: cambiare la password di un'app e revocare il suo permesso di accesso. Ciò annulla la fattibilità del token di autenticazione replicato fino a quando, secondo il documento, Pegasus viene ridistribuito.

Sì, esistono exploit iOS e alcuni di essi non vengono mai divulgati, ma l'aggressivo meccanismo di aggiornamento software di Apple installa rapidamente le patch. Per quanto ne sappia, nessuna compagnia di sicurezza deve ancora affermare in modo inequivocabile che può hackerare gli iPhone più recenti.

Pegasus è stato recentemente utilizzato per hackerare WhatsApp tramite una vulnerabilità non rivelata. Da allora WhatsApp ha chiuso la scappatoia e il Dipartimento di Giustizia degli Stati Uniti sta indagando.

Pensieri?