Proteggere attraverso restrizioni: il nuovo Lockdown Mode di Apple

Nel mese di luglio 2022 Apple ha annunciato una nuova funzionalità di protezione per i suoi dispositivi. Denominata “Lockdown Mode”, limita in modo importante l’operatività del vostro smartphone, tablet o laptop Apple. L’obiettivo è ridurre la percentuale di riuscita di attacchi mirati a cui, tra gli altri, politici, attivisti e giornalisti sono spesso soggetti. Lockdown Mode sarà disponibile con l’imminente rilascio di iOS 16 (per smartphone), iPadOS 16 (per tablet) e macOS 13 Ventura (per desktop e laptop).

Tale modalità operativa potrebbe causare qualche inconveniente a un normale utente. Per questa ragione Apple la raccomanda solo agli utenti le cui attività potrebbero essere maggiormente esposte ad attacchi mirati. In questo post analizzeremo i pro e contro di Lockdown Mode, confrontando le nuove limitazioni con le potenzialità dei ben noti exploit per smartphone Apple, e approfondiremo la ragione per cui questa modalità, per quanto utile, non possa essere considerata una bacchetta magica.

Lockdown Mode in dettaglio

Prima della fine dell’anno in corso, grazie al rilascio della nuova versione di iOS, i vostri smartphone o tablet Apple (se relativamente recenti, ossia non anteriori al 2018) saranno dotati del nuovo Lockdown Mode nelle impostazioni.

Schermata di attivazione Lockdown Mode su smartphone Apple. Fonte

A seguito dell’attivazione, il telefono si riavvierà e alcune piccole (ma, per qualcuno, vitali) funzioni cesseranno la loro operatività. Per esempio, gli allegati iMessage verranno bloccati e i siti web potrebbero cessare di funzionare correttamente nel browser. Sarà molto più difficile essere raggiunti da persone con le quali non avete avuto contatti in precedenza. Tali limitazioni rappresentano un ulteriore sforzo per chiudere i punti di accesso sfruttati dai cybercriminali con maggior frequenza.

Andando più a fondo, Lockdown Mode introduce le seguenti restrizioni sui vostri dispositivi Apple:

1. Nelle chat iMessage potrete visualizzare solo testi e immagini che sono stati inviati a voi. Ogni altro allegato verrà bloccato.
2. Alcune tecnologie saranno disabilitate nei browser, inclusa la compilazione just-in-time.
3. Ogni invito in entrata per comunicazioni tramite servizi Apple verrà bloccato. Per esempio, non sarete in grado di effettuare una chiamata via FaceTime se non avete chattato con l’altro utente in passato.
4. Nel caso sia bloccato, il vostro smartphone non interagirà in alcun modo con il vostro computer (o con ogni altro dispositivo esterno con un collegamento cablato).
5. Non sarà possibile installare profili di configurazione o registrare il telefono a un Mobile Device Management (MDM).

Le prime tre azioni hanno l’obiettivo di limitare i vettori più diffusi di attacchi remoti mirati verso dispositivi Apple: un iMessage infetto, un link a un sito web dannoso o una video call in entrata.

La quarta è stata pensata nel caso in cui il vostro iPhone sia stato lasciato incustodito, al fine di proteggerlo da eventuali connessioni a un computer, con conseguente appropriazione di informazioni preziose a causa di una vulnerabilità nel protocollo di comunicazione.

La quinta limitazione rende impossibile connettere uno smartphone in Lockdown Mode a un sistema MDM. Di solito, le aziende utilizzano di frequente un MDM per motivi di sicurezza, ad esempio per cancellare i dati su un telefono smarrito. Tuttavia, tale funzione può anche essere utilizzata per sottrarre dati, in quanto conferisce all’amministratore MDM un controllo piuttosto esteso del vostro dispositivo.

Tutto sommato, Lockdown Mode sembra una buona idea. Probabilmente dovremmo essere disposti a tollerare qualche disagio in più in cambio della nostra sicurezza?

Funzionalità verso bug

Prima di affrontare la questione, cerchiamo di valutare quanto possa essere veramente drastica la soluzione di Apple. Se ci pensate, è l’esatto opposto di tutte le norme stabilite nel settore. Di solito funziona così: all’inizio uno sviluppatore esce con una nuova funzionalità, la presenta e poi lotta per liberare il codice dai bug. Per contro, con Lockdown Mode Apple vi offre di rinunciare a un piccolo numero di funzionalità esistenti a favore di una maggiore protezione.

Ecco un semplice (e puramente teorico) esempio: supponiamo che il creatore di un’app di messaggistica aggiunga la possibilità di scambiare bellissime emoji animate, e anche di poterne creare una vostra. Successivamente si scopre che è possibile creare una emoji che causa il riavvio continuo dei dispositivi di tutti i destinatari. Poco carino.

Per evitare tutto ciò, la funzionalità avrebbe dovuto essere cancellata oppure si sarebbe dovuto dedicare più tempo all’analisi della vulnerabilità. Ma era più importante rilasciare il prodotto e monetizzarlo il più velocemente possibile. Nell’eterna lotta tra sicurezza e praticità, quest’ultima ha sempre avuto la meglio. Fino ad oggi la nuova funzionalità di Apple pone la sicurezza al di sopra di ogni altra cosa. C’è una sola parola adatta per descriverla: fantastica.

Questo significa che gli iPhone senza Lockdown Mode non sono sicuri?

I dispositivi mobili Apple sono già piuttosto sicuri, il che è importante in questo contesto. Sottrarre dati da un iPhone non è semplice, ed Apple sta facendo veramente il massimo per far sì che sia sempre così.

Per esempio, i dati biometrici che servono a sbloccare il vostro telefono sono conservati solo su dispositivo e non vengono inviati al server. Le informazioni nella memoria del telefono sono criptate. Il PIN per sbloccare il vostro telefono non può essere forzato brutalmente:  il dispositivo si blocca dopo vari tentativi errati. Le app degli smartphone vengono eseguite separatamente l’una dall’altra e, in generale, non possono accedere a informazioni conservate in altre app. Violare un iPhone sta diventando sempre più difficile ogni anno. Per la maggior parte degli utenti questo livello di sicurezza è più che sufficiente.

Quindi perché aggiungere ancor più protezione?

La questione riguarda un numero piuttosto esiguo di utenti, le cui informazioni sono talmente preziose che coloro che vogliono ottenerle sono disposti a fare di tutto. Fare di tutto in questo contesto significa impiegare moltissimo tempo e spendere una quantità considerevole di denaro per elaborare exploit complessi, che siano in grado di bypassare i noti sistemi di protezione. Questo tipo di cyberattacchi così sofisticati minaccia poche decine di migliaia di persone in tutto il mondo.

Questa stima approssimativa ci è stata fornita grazie al Pegasus Project. Nel 2020 venne trafugata una lista con circa 50.000 nomi e numeri di telefono; si trattava di persone che presumibilmente erano state il target di attacchi (o potrebbero esserlo stati) con l’utilizzo di un tipo di spyware sviluppato da NSO Group. La società israeliana è stata a lungo criticata per la messa a punto “legale” di strumenti di hacking per i suoi clienti, tra cui molteplici agenzie di intelligence in tutto il mondo.

NSO Group ha negato ogni collegamento tra le sue soluzioni e la lista trafugata; tuttavia, successivamente, è emerso che attivisti, giornalisti e politici (dalla base fino ai vertici di stato e governi) sono stati attaccati proprio grazie all’utilizzo di sue tecnologie. Lo sviluppo di exploit, anche in modo legale, è comunque un business rischioso che può provocare metodi di attacco estremamente pericolosi, che possono essere utilizzati da chiunque.

Quanto sono sofisticati gli exploit per iOS?

La complessità di questi exploit può essere misurata esaminando un attacco zero-click analizzato dal team Project Zero di Google alla fine dello scorso anno. Di solito, la vittima deve perlomeno cliccare un link per attivare il malware del malfattore; “zero-click”, invece, significa che non è necessaria alcuna azione dell’utente per compromettere il dispositivo oggetto dell’attacco.

Nel caso particolare descritto da Project Zero, è sufficiente inviare un messaggio dannoso alla vittima in iMessage – abilitato per default nella maggior parte di iPhone e utilizzato per sostituire i normali messaggi. In altre parole, per un malfattore è sufficiente conoscere il numero di telefono della vittima e inviare un messaggio, dopodiché riesce a conquistare il controllo remoto del dispositivo designato.

L’exploit è molto complicato. La vittima riceve in iMessage un file con estensione GIF – che, in realtà, non è una GIF ma un PDF compresso che utilizza un determinato algoritmo piuttosto popolare nei primi anni duemila. Il telefono della vittima tenta di mostrare un’anteprima di questo documento. Nella maggior parte dei casi viene utilizzato il codice personale Apple, mentre in questo tipo particolare di compressione è usato un programma di terzi. All’interno di quest’ultimo è stata rilevata una vulnerabilità, un errore di overflow del buffer non particolarmente significativo. Semplificando al massimo, intorno a questa vulnerabilità minore troviamo un sistema computazionale separato e indipendente che, alla fine, esegue un codice malevole.

In altre parole, l’attacco sfrutta una serie di lacune non banali nel sistema, ognuna delle quali può sembrare insignificante se presa singolarmente. Se invece vengono inanellate, il risultato finale è un’infezione dell’iPhone a causa di un singolo messaggio, senza che sia necessario alcun click da parte dell’utente.

Francamente, non è qualcosa in cui un hacker adolescente può imbattersi per caso. E nemmeno quello che un gruppo di sviluppatori abituali di malware potrebbe creare: di solito vanno diretti alla monetizzazione. Un exploit così sofisticato deve avere richiesto migliaia di ore di tempo e anche milioni di dollari.

Ma ricordiamo la funzionalità chiave di Lockdown Mode di cui abbiamo parlato sopra: la quasi totalità di ogni allegato è bloccata. In questo modo risulta piuttosto difficile portare a termine un attacco zero-click, anche se il codice iOS contiene l’apposito bug.

Le funzioni restanti di Lockdown Mode servono a chiudere altri “punti di ingresso” piuttosto comuni per gli attacchi mirati: browser web, connessione cablata a un computer, chiamate FaceTime in entrata. Per questi vettori di attacchi esistono già alcuni exploit, sebbene non necessariamente nei prodotti Apple.

Quante sono le probabilità che possiate essere colpiti da un attacco così altamente sofisticato se non siete nei radar dei servizi dell’intelligence? Praticamente pari a zero, a meno che non siate colpiti per sbaglio. Per l’utente medio, quindi, non ha molto senso utilizzare Lockdown Mode. Poco serve limitare la facilità d’uso del vostro telefono o laptop in cambio di una lieve diminuzione delle probabilità di essere coinvolti in un attacco mirato.

Non solo lockdown

D’altro lato, per coloro che sono nella cerchia dei potenziali target di Pegasus o spyware simili, il nuovo Lockdown Mode di Apple rappresenta sicuramente un miglioramento positivo, anche se non è una bacchetta magica.

In aggiunta a Lockdown Mode (e, finché non viene rilasciato, “invece di”), i nostri esperti hanno ancora un paio di suggerimenti. Ricordate che si tratta di una situazione in cui qualcuno veramente potente e altamente determinato è alla ricerca dei vostri dati. Ecco un paio di consigli:

• Riavviate il vostro smartphone quotidianamente. Creare un exploit per iPhone è un’operazione di per sé già molto complessa, renderlo resistente a un riavvio lo è ancora di più. Lo spegnimento regolare del vostro telefono vi garantirà una piccola protezione in più.
• Disabilitate del tutto iMessage. Apple difficilmente lo consiglierà, ma potete farlo da soli. Perché limitarsi a ridurre le possibilità di un attacco iMessage quando potete eliminare l’intera minaccia in un sol colpo?
• Non aprite alcun link. Nel caso specifico non importa chi lo abbia inviato. Se avete veramente necessità di aprire un link, utilizzate un computer diverso e preferibilmente Tor Browser, che nasconde i vostri dati.
• Se possibile, utilizzate una VPN per nascondere il vostro traffico. Ancora una volta ciò renderà difficile determinare la vostra posizione e raccogliere dati relativi al vostro dispositivo per un attacco futuro.

Per ulteriori consigli, date un’occhiata al post di Costin Raiu “Rimanere al sicuro da Pegasus, Chrysaor e altri malware mobile APT.”