Exploit zero-click

Di tanto in tanto, negli ultimi anni, gli attacchi zero-click sono finiti sotto i riflettori. Come suggerisce il nome, gli attacchi zero-click non richiedono alcuna azione da parte della vittima, pertanto anche gli utenti più esperti possono essere soggetti ad attacchi violenti e all'uso di strumenti spyware.

Gli attacchi zero-click sono in genere altamente mirati e utilizzano tattiche sofisticate. Possono avere conseguenze devastanti senza che la vittima si accorga di niente. I termini "attacchi zero-click" ed "exploit zero-click" sono spesso usati in modo intercambiabile. A volte vengono anche chiamati attacchi senza interazione o completamente in remoto.

Che cosa si intende per malware zero-click?

Tradizionalmente, il software di spionaggio mira a convincere la persona presa di mira a fare clic su un collegamento o un file compromesso in modo da potersi installare nel telefono, tablet o computer della vittima. Tuttavia, in presenza di un attacco zero-click, il software può essere installato in un dispositivo senza che la vittima faccia clic su alcun collegamento. Di conseguenza, il malware zero-click o il malware no-click è molto più pericoloso.

La ridotta interazione degli attacchi zero-click implica la presenza di meno tracce di qualsiasi attività dannosa. Per questo motivo, oltre al fatto che le vulnerabilità sfruttabili dai criminali informatici per gli attacchi zero-click sono molto rare, sono particolarmente apprezzati dagli aggressori.

Dal momento che anche gli attacchi zero-click di base lasciano poche tracce, rilevarli è estremamente difficile. Inoltre, le stesse funzionalità che rendono il software più sicuro possono spesso rendere più difficile il rilevamento degli attacchi zero-click. Gli attacchi zero-click sono in circolazione da anni e il problema è diventato più diffuso con l'incremento nell'utilizzo degli smartphone, in cui viene memorizzata un'elevata quantità di dati personali. Poiché individui e organizzazioni diventano sempre più dipendenti dai dispositivi mobili, la necessità di rimanere informati sulle vulnerabilità zero-click non è mai stata così impellente.

Come funziona un attacco zero-click?

L'infezione remota del dispositivo mobile di una vittima richiede in genere il ricorso al social engineering, nell'ambito del quale l'utente fa clic su un collegamento dannoso o installa un'app dannosa e offre all'autore dell'attacco un punto di ingresso. Non è il caso degli attacchi zero-click, che non hanno assolutamente bisogno del social engineering.

Un attacco zero-click sfrutta le vulnerabilità presenti nel dispositivo, facendo leva su una falla nel sistema di verifica dei dati per farsi strada nel sistema. La maggior parte dei software utilizza processi di verifica dei dati per tenere a bada le violazioni informatiche. Tuttavia, esistono vulnerabilità zero-day persistenti che non sono ancora state corrette e rappresentano obiettivi potenzialmente redditizi per i criminali informatici. Gli hacker più sofisticati possono sfruttare queste vulnerabilità zero-day per eseguire attacchi informatici, che possono essere implementati senza alcuna azione da parte dell'utente.

Spesso gli attacchi zero-click prendono di mira le app che forniscono servizi di messaggistica o chiamate vocali, progettati per ricevere e interpretare dati da fonti non attendibili. Gli autori degli attacchi generalmente utilizzano dati appositamente creati, come un file immagine o un messaggio di testo nascosto, per inoculare codice in grado di compromettere il dispositivo.

Un ipotetico attacco zero-click potrebbe funzionare in questo modo:

I criminali informatici individuano una vulnerabilità in un'app di posta o di messaggistica.
Sfruttano la vulnerabilità inviando un messaggio appositamente creato alla preda.
La vulnerabilità consente ai malintenzionati di infettare il dispositivo in remoto tramite e-mail che richiedono grandi quantità di memoria.
L'e-mail, il messaggio o la chiamata dell'hacker non rimarranno necessariamente sul dispositivo.
A seguito dell'attacco, i criminali informatici possono leggere, modificare, divulgare o eliminare i messaggi.

L'attacco può essere costituito da una serie di pacchetti di rete, richieste di autenticazione, messaggi di testo, MMS, messaggi in segreteria, sessioni di videoconferenza, telefonate o messaggi inviati tramite Skype, Telegram, WhatsApp e così via. Questi elementi possono sfruttare una vulnerabilità nel codice di un'applicazione che si occupa dell'elaborazione dei dati.

Il fatto che le app di messaggistica consentano di identificare le persone tramite il numero di telefono, facilmente reperibile, le rende bersagli inevitabili per operazioni di attacco in ambito politico o commerciale.

Le specifiche di ogni attacco zero-click variano a seconda della vulnerabilità sfruttata. Una caratteristica chiave degli attacchi zero-click è la loro capacità di non lasciare tracce, che li rende molto difficili da rilevare. Di conseguenza non è facile identificare chi li utilizza e per quale scopo. Tuttavia, è noto che le agenzie di intelligence di tutto il mondo li utilizzano per intercettare messaggi e monitorare la posizione di sospetti criminali e terroristi.

Gli exploit zero-click possono iniziare con un messaggio apparentemente innocuo o una chiamata persa.

Esempi di malware zero-click

Una vulnerabilità zero-click può interessare vari dispositivi, da Apple ad Android. Esempi rinomati di exploit zero-click includono:

Zero-click Apple, ForcedEntry, 2021:

Nel 2021 un attivista per i diritti umani del Bahrein ha subito un attacco hacker del proprio iPhone da parte di un potente spyware venduto agli stati sovrani. L'attacco, scoperto dai ricercatori di Citizen Lab, aveva sconfitto le protezioni di sicurezza messe in atto da Apple per far fronte alle compromissioni.

Citizen Lab è un laboratorio che si occupa del controllo di Internet con sede presso l'Università di Toronto. Analizzando l'iPhone 12 Pro dell'attivista, gli esperti hanno scoperto che era stato violato tramite un attacco zero-click. L'attacco zero-click ha fatto leva su una vulnerabilità di sicurezza precedentemente sconosciuta in iMessage di Apple, che è stata sfruttata per inoculare nel telefono dell'attivista lo spyware Pegasus, sviluppato dalla società israeliana NGO Group.

L'attacco ha avuto un'eco mediatica significativa, principalmente perché sfruttava il software iPhone più recente al momento, sia iOS 14.4 che la versione successiva iOS 14.6, rilasciata da Apple nel maggio 2021. L'attacco ha eluso BlastDoor, una funzionalità del software di sicurezza integrata in tutte le versioni di iOS 14 che aveva lo scopo di prevenire questo tipo di attacchi dei dispositivi filtrando i dati dannosi inviati tramite iMessage. Per via della capacità di eludere BlastDoor, questo exploit è stato soprannominato ForcedEntry. In risposta, Apple ha aggiornato le sue difese di sicurezza con iOS 15.

Violazione di WhatsApp, 2019:

Questa famigerata violazione è stata innescata da una chiamata persa, che ha sfruttato una falla nel framework del codice sorgente di WhatsApp. Un exploit zero-day, cioè una vulnerabilità informatica precedentemente sconosciuta e senza patch, ha consentito all'autore dell'attacco di caricare spyware nei dati scambiati tra due dispositivi per mezzo della chiamata persa. Una volta caricato, lo spyware si è auto-abilitato come risorsa in background, all'interno della struttura software del dispositivo.

Jeff Bezos, 2018:

Nel 2018, il principe ereditario Mohammed bin Salman dell'Arabia Saudita avrebbe inviato al CEO di Amazon Jeff Bezos un messaggio WhatsApp con un video che promuoveva il mercato delle telecomunicazioni dell'Arabia Saudita. È emerso che all'interno del file video era presente un frammento di codice che ha permesso al mittente di estrarre informazioni dall'iPhone di Bezos per diversi mesi. Ciò ha comportato l'acquisizione di messaggi di testo, messaggi istantanei ed e-mail, nonché di potenziali registrazioni intercettate effettuate con i microfoni del telefono.

Project Raven, 2016:

Project Raven si riferisce all'unità che si occupa di operazioni informatiche offensive degli Emirati Arabi Uniti e comprende funzionari della sicurezza degli Emirati ed ex operatori dell'intelligence statunitense operanti come contractor. Secondo quanto riferito, è stato utilizzato lo strumento Karma per sfruttare una falla presente in iMessage. Karma ha utilizzato messaggi di testo appositamente creati per attaccare gli iPhone di attivisti, diplomatici e leader esteri rivali per ottenere foto, e-mail, messaggi di testo e informazioni sulla posizione.

Come proteggersi dagli exploit zero-click

Dal momento che gli attacchi zero-click si basano sull'assenza di interazione da parte della vittima, non si può fare molto per proteggersi. Sebbene l'idea non sia incoraggiante, è importante ricordare che, in generale, questi attacchi tendono a essere mirati a vittime specifiche per scopi di spionaggio o per guadagni economici.

Detto questo, mettere in atto strategie di igiene informatica di base aiuterà a massimizzare la sicurezza online. Ecco alcune precauzioni ragionevoli che puoi adottare:

Mantieni aggiornati il sistema operativo, il firmware e le app in tutti i tuoi dispositivi come richiesto.
Scarica le app solo dai negozi ufficiali.
Elimina tutte le app che non usi più.
Non eseguire il "jailbreak" o il "rooting" del telefono per evitare di rimuovere la protezione fornita da Apple e Google.
Usa la protezione tramite password del dispositivo.
Utilizza un'autenticazione efficace per accedere agli account, in particolare alle reti critiche.
Usa password complesse, lunghe e univoche.
Esegui regolarmente il backup dei sistemi. I sistemi possono essere ripristinati in caso di ransomware e disporre di un backup aggiornato di tutti i dati accelera il processo di ripristino.
Abilita il blocco dei pop-up o impedisci la visualizzazione dei pop-up regolando le impostazioni del browser. I truffatori utilizzano regolarmente i pop-up per diffondere malware.

Anche l'utilizzo di un anti-virus completo ti aiuterà a rimanere al sicuro online. Kaspersky Total Security offre protezione 24 ore su 24, 7 giorni su 7 contro hacker, virus e malware, oltre a strumenti per la protezione dei pagamenti e per la privacy che ti proteggono in modo completo. Kaspersky Internet Security for Android proteggerà anche il tuo dispositivo Android.

Articoli correlati:

Che cos'è il malware zero-click e come funzionano gli attacchi zero-click?

Kaspersky

Lo spyware zero-click è un attacco dannoso che non richiede interazione da parte dell'utente. Vulnerabilità zero-click, come funziona un attacco zero-click e quali sono le strategie di protezione.