iPhone e iPad, con a bordo qualsiasi versione di iOS, sono vulnerabili agli attacchi cracker; si è capito così che i dispositivi Apple non sono mai stati al riparo dagli attacchi dei cyber criminali, in quanto il problema sembra esser presente da diversi anni. A seguito di tale rivelazione, sono arrivate anche le prime accuse ai danni della società di Tim Cook, che prontamente replica affermando che i dati degli utenti sono sempre stati al sicuro e che nessun dato sia mai stato utilizzato per scopi non leciti.
Apple: l’accusa di ZecOps
Recentemente è stata scoperta da ZecOps, una società che si occupa di sicurezza online, una grave falla nel sistema di mail di iPhone. La compagnia afferma di aver scoperto la problematica nel dicembre dello scorso anno, durante l’analisi di un attacco subito da un cliente; nella giornata di mercoledì 22 aprile scorso, ha deciso di rendere pubblici tutti i dettagli.
A seguito delle pressanti richieste, l’azienda di Cupertino ha individuato la grave falla nel sistema di sicurezza interno al client mail di iOS e ha trovato una soluzione; di fatto la inserirà nella beta di iOS 13.4.5 prossima al rollout al grande pubblico.
ZecOps continua ad affermare invece, nonostante le negazioni di Apple, che sono stati perpetrati diversi attacchi proprio sfruttando tale problematica fin da gennaio 2018 (con iOS 11.2.2). Secondo la società di San Francisco che si occupa della sicurezza online, ZecOps Research and Threat Intelligence, gli attacchi sono stati mirati su larga scala, con target ben definiti; la compagnia ha fornito ulteriori prove a sostegno di ciò, specificando alcuni degli obiettivi sospetti attacchi nel corso degli anni, tra i quali figurano:
- Individui di un’organizzazione Fortune 500 in Nord America;
- Un dirigente di una compagnia aerea giapponese;
- Un VIP dalla Germania;
- La Managed Security Service Provider (MSSP) dall’Arabia Saudita e da Israele;
- Un giornalista in Europa;
- Un dirigente di un’azienda svizzera
Apple smentisce e nega tutto
In un’intervista rilasciata a Bloomberg, Apple afferma che non vi sono prove a supporto degli attacchi infondati ai propri danni da parte dell’azienda di San Francisco e che le vulnerabilità non sono così pericolose come vogliono far credere, o perlomeno non sono sufficienti per consentire agli attacchi hacker di aver successo nell’operazione.
La società di Cupertino sta contrastando le affermazioni della società di sicurezza informatica ZecOps Inc. secondo cui i difetti del software potrebbero aver permesso agli hacker di accedere ai dati sensibili presenti negli iPhone (e in altri dispositivi iOS) per oltre un anno e mezzo. Apple ha avviato un’indagine a seguito delle accuse, dichiarando prontamente in un report, che i problemi di posta elettronica da soli non erano sufficienti a consentire agli hacker di eludere la sicurezza integrata; ha aggiunto poi, che emetterà comunque una soluzione al più presto. Si può leggere chiaramente nella nota di Apple:
Abbiamo studiato a fondo il rapporto emerso a seguito dell’investigazione e, sulla base delle informazioni fornite, abbiamo concluso che questi problemi non rappresentano un rischio immediato per i nostri utenti. L’indagine ha identificato tre problemi in Mail, ma da soli non sono sufficienti per aggirare le protezioni di sicurezza di iPhone e iPad e non abbiamo trovato prove che siano stati utilizzati contro i clienti.
La risposta fornita dalla società di Cupertino tuttavia non convince. Se è vero che da un lato le vulnerabilità da sole non possono permettere di aggirare gli standard di sicurezza del client mail Apple, dall’altro lato un attacco combinato su più fronti – sfruttando anche la falla nel sistema mail – potrebbe consentire ai cyber criminali di raggiungere il proprio scopo. In attesa della patch, sarà utile far chiarezza.