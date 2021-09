A sorpresa, e proprio alla vigilia del nuovo iOS 15, che arriverà a giorni con l’iPhone 13, Apple ha rilasciato aggiornamenti per tutti i sistemi operativi. Con il nuovo software vengono corrette due falle presenti in macOS, watchOS, iOS e iPadOS, che consentono l’installazione di spyware senza che l’utente debba eseguire alcuna operazione.

La società di Cupertino ha risposto così alla denuncia del Citizen Lab dell’Università di Toronto, secondo il quale la società di software israeliana NSO Group da febbraio infetta i telefoni iPhone e gli altri dispositivi Apple. Il gruppo israeliano produce Pegasus, il software utilizzato per spiare i telefoni di attivisti per i diritti umani, giornalisti e persino capi di Stato, come ha svelato qualche mese fa una mega-inchiesta internazionale.

Erano stati gli analisti di Citizen Lab a scoprire il problema analizzando il telefono di un attivista saudita che era stato infettato dallo spyware Pegasus di Nso Group. Pegasus consente all’autore di accedere alle attività del dispositivo contagiato, ma anche a fotocamera, microfono, fotografie, posizione, messaggi di testo, e-mail e chiamate senza che la vittima se ne renda conto. L’azienda israeliana si occupa di sicurezza informatica, ma il suo software sarebbe utilizzato da diversi governi per ottenere l’accesso a telefoni e altri dispositivi di giornalisti, attivisti e rivali politici. Lo avrebbe adoperato anche il governo del Bahrain per spiare i telefoni di nove oppositori politici.

Oltre a essere attivato semplicemente inviando un messaggio alla vittima, Forcedentry attacca una nuova funzione di sicurezza software chiamata BlastDoor che Apple ha inserito in iOS 14. “La nostra ultima scoperta di un altro exploit zero-day di Apple impiegato come parte dell’arsenale di NSO Group mostra con evidenza che aziende come NSO Group stanno rendendo possibile introdurre il dispotismo semplicemente pagando una certa cifra, e tenendo lontane dai riflettori le agenzie di sicurezza governative non responsabili”, hanno detto i ricercatori di Citizen Lab. “Le onnipresenti app di chat sono diventate un obiettivo importante per chi mette in atto minacce più sofisticate, comprese le operazioni di spionaggio degli stati nazionali e le società di spyware mercenario al loro servizio. Per come sono attualmente progettate, molte app di chat sono diventate un obiettivo irresistibile”, aggiungono.

Con gli ultimi aggiornamenti, l’azienda ha corretto un totale di 15 vulnerabilità zero-day dall’inizio del 2021. Ivan Krstic, responsabile Security Engineering and Architecture di Apple, ha detto: “Dopo aver identificato la vulnerabilità utilizzata da questo exploit per iMessage, Apple ha rapidamente sviluppato e distribuito una correzione in iOS 14.8 per proteggere i nostri utenti. Vorremmo lodare Citizen Lab per aver completato con successo il lavoro molto difficile di ottenere un campione di questo exploit in modo da poter sviluppare subito questo aggiornamento. Attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per svilupparli, spesso hanno una breve durata e sono utilizzati per colpire individui specifici”.

L’utente medio di iPhone, iPad e Mac generalmente non deve preoccuparsi, insomma, ma meglio seguire le indicazioni di Apple: “Questo aggiornamento fornisce importanti miglioramenti della sicurezza ed è consigliato a tutti gli utenti”, si legge nella descrizione di iOS 14.8 per iPhone nell’App Store.