Un recente articolo, scritto dal noto ricercatore di sicurezza informatica, Jonathan Zdziarskim, che verteva su alcuni presunte funzionalità di monitorizzazione presenti “in background” nei dispositivi iOS, ha causato molto scalpore. In seguito alla pubblicazione dell’articolo, sono usciti diversi post in cui si accusava Apple di collaborare con la NSA, mentre altri smentivano completamente l’esistenza di tali strumenti. La verità, come sempre, si trova a metà strada. Alcune funzioni, che esitono e sono attive in tutti i dispositivo iOS, possono essere usate per collegarsi al dispositivo e rubare i suoi contenuti, indipendentemente dalle misure di sicurezza adottate dal telefono, come il codice PIN, la crittografia dei backup e così via. Comunque sia, ci sono limiti e proprio per questo non si tratta di un’emergenza globale che richiede un’azione immediata.
Il fatto che esistano queste funzionalità e servizi in iOS non significa necessariamente che Apple abbia delle cattive intenzioni. Al momento, la compagnia ha risposto ad alcuni giornalisti e ha pubblicato un articolo nella categoria Supporto del proprio sito (articolo in inglese) in cui vengono descritti tutti i servizi in questione (definiti “diagnostic service”), insistendo sul fatto che queste funzioni sono state create per essere utilizzate dal supporto tecnico e dall’azienda stessa. Tuttavia, la possibilità che queste funzioni possano essere usate per scopi illeciti è un’ipotesi da non trascurare.
Come funziona un’ipotetico attacco
Per poter sfruttare questi servizi, un hacker dovrebbe essere in grado, prima di tutto, di connettere fisicamente il dispositivo al suo computer via USB; inoltre, l’ iPhone/iPad deve essere sbloccato. In questo caso, l’iOS cerca di stabilire una sorta di “associazione” con il computer, un’unione che, di fatto, si realiazza mediante una connessione di fiducia con sincronizzazione dei dati. Il set dei certificati e chiavi richieste vengono immagazzinate sul computer e possono essere poi usate per comunicare con l’iPhone via cavo o wireless. A questo punto, un criminale potrebbe rubare l’associazione di chiavi da un computer usando un malware; e per farlo non è necessario l’accesso fisico all’iOS.
A questo punto, entrano in gioco una serie di servizi speciali per iPhone. Questi servizi sono in grado di catturare tutto il traffico di rete su ogni dispositivo; rubare foto, messaggi, contatti e altri tipi di contenuti. I servizi sono attivi indipendentemente dalle misure di sicurezza adottate e dalle impostazioni di sincronizzazione; l’utente non si rende conto di nulla; non generano notifiche, né interazione con l’utente. Tuttavia, un ipotetico hacker in possesso della combinazione di chiavi si può connettere a un dispositivo iOS e monitorarlo in remoto (in teoria utilizzando la stessa rete Wi-Fi, dato che Zdziarski non è stato in grado di realizzare questo trucco attraverso il servizio Internet offerto dal proprio operatore mobile).
È un attacco diffuso?
No. Un criminale deve prima riuscire a sbloccare il dispositivo o hackerare il suo computer. Poi, è necessaria una connessione stabile con l’iPhone della vittima. Tale combinazione di fattori si verifica quando un’agenzia governativa o un’altro ente molto potente decide di attaccare una persona specifica. Tuttavia per gli hacker più comuni e con meno risorse, è complicato e poco redditizio mettere a segno un colpo di questo tipo. L’unica eccezione alla regola sono le persone vicino all’ipotetica vittima: colleghi di lavoro, membri della famiglia, amici stretti… Queste persone possono utilizzare questi servizi nascosti con facilità, ma – fortunatamente per la vittima – avranno bisogno di software speciali, non facili da ottenere. Comunque sia per stare dalla parte del sicuro e proteggersi come si deve, potete seguire…
I nostri consigli
Per evitare che si realizzino associazioni pericolose, non usate mail il caricatore di un’altra persona dato che potrebbe rivelarsi un dispositivo di sincronizzazione. Usate solo il vostro caricatore personale. In viaggio, la migliore opzione è acquistare una protezione per la vostra USB; in inglese sono note con il termine “USB condom” o preservativo per USB.
Per fare in modo che nessuno spii il tuo #iPhone, caricano usando il tuo caricatore e non dare mai il tuo telefono sbloccato a sconosciuti.
Tweet
Non date mai un telefono sbloccato in mano a degli sconosciuti o almeno rimanete accanto a loro per seguire le loro azioni. Per fare in modo che nessuno rubi le vostre associazioni di chiavi dal computer, usate una prodotto che vi protegga dai malware.
Una volta associati, il vostro iPhone o iPad salva – ed in forma permanente – una lista con i dispositivi associati e le relative chiavi. L’unico modo per liberarsi da queste associazioni di dispositivi è resettare tutto. Fortunatamente, alcune recenti implementazioni applicate ai servizi iCloud, permettono di realizzare questa operazione senza difficoltà. L’unica precauzione da prendere prima di procedere, è salvare tutte le foto e i documenti su di un altro dispositivo.