Apple ha corretto la vulnerabilità in iOS 13.4.5 beta il 16 aprile 2020, sebbene la patch non sia ancora disponibile nella versione di disponibilità generale. Se non puoi utilizzare la versione beta, ZecOps suggerisce di disabilitare l’applicazione Mail e di considerare Outlook, Edison Mail o Gmail, che non sono vulnerabili. Ma finché non sarà disponibile una patch, gli attori malintenzionati potrebbero impiegare il tempo necessario per attaccare il maggior numero possibile di dispositivi.
Perché le minacce informatiche Zero-Click dovrebbero essere sul tuo radar.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Per anni, le statistiche ci hanno detto che l’errore umano è il principale contribuente agli attacchi informatici . Abbiamo sottolineato l’importanza dell’addestramento, dell’allenamento e dell’ulteriore addestramento per evitare che ciò accada quasi inevitabilmente. Siamo stati convinti che la chiave per difendersi dalle minacce informatiche sia impedire agli ignari di fare clic sulle e-mail di phishing e di infettare dispositivi e sistemi con malware.
Questo è ancora importante, ma con una minaccia informatica che è stata recentemente nelle notizie, tutto quello sforzo non sarebbe servito a niente. Gli attacchi a zero clic non richiedono errori umani o interazioni umane. Questi attacchi dipendono da dati appositamente formati , come quelli utilizzati per e-mail, messaggi SMS, messaggi MMS, messaggi vocali e chiamate, con codice che può compromettere il sistema. I sistemi vulnerabili sono generalmente piattaforme di comunicazione per e-mail e messaggistica che ricevono dati prima di determinare se la consegna è affidabile.
I criminali informatici premiano questi attacchi, secondo Wired : la necessità di fare clic sul bersaglio è sempre incerta, inoltre una minore interazione rende l’identificazione degli autori di attività dannose ancora più scoraggiante.
Come funzionano gli attacchi a zero clic
Un attacco a zero clic identificato da ZecOps mostra come la minaccia può funzionare in natura. La vulnerabilità riguarda l’app Mail in iPhone e iPad di Apple. ZecOps ha osservato che i cyberattaccanti potrebbero innescare la vulnerabilità inviando un messaggio accuratamente predisposto alla cassetta postale di un bersaglio. La vulnerabilità esiste da settembre 2012, quando Apple ha rilasciato l’iPhone 5 con iOS 6.
Quando la destinazione apre il messaggio nell’applicazione iOS MobileMail su iOS 12 o su iOS 13, la vulnerabilità consente agli attori malintenzionati di infettare il dispositivo in remoto tramite e-mail che consumano memoria estesa. La stessa email non deve essere grande, secondo ZecOps, abbastanza grande da consumare RAM sufficiente. Anche prima che l’intera e-mail venga scaricata, la vulnerabilità può essere attivata.
A partire da iOS 13, la vulnerabilità abilita gli attacchi a zero clic quando l’app di posta viene aperta in background. Gli hacker informatici possono quindi leggere, modificare, perdere o eliminare le e-mail dall’app Mail. Tuttavia, gli aggressori non avranno il pieno controllo del dispositivo bersaglio. Per questo, ZecOps concorda con Apple che gli attaccanti richiederebbero un bug infoleak aggiuntivo e un bug del kernel.
Apple ha corretto la vulnerabilità in iOS 13.4.5 beta il 16 aprile 2020, sebbene la patch non sia ancora disponibile nella versione di disponibilità generale. Se non puoi utilizzare la versione beta, ZecOps suggerisce di disabilitare l’applicazione Mail e di considerare Outlook, Edison Mail o Gmail, che non sono vulnerabili. Ma finché non sarà disponibile una patch, gli attori malintenzionati potrebbero impiegare il tempo necessario per attaccare il maggior numero possibile di dispositivi.
Intermezzo promozionale ... continua la lettura dopo il box:
La diffusione insidiosa degli attacchi a zero clic
La vulnerabilità a zero clic di iPhone e iPad non è l’unica scoperta di recente. Nel gennaio 2020, Samsung ha ringraziato il ricercatore di sicurezza Mateusz Jurczyk con il team di ricerca di bug Project Zero di Google per aver trovato una vulnerabilità che ha permesso agli aggressori di sfruttare il modo in cui la libreria grafica Android gestisce le immagini, ha riferito SC Magazine . Ciò ha consentito attacchi zero-click su telefoni cellulari Samsung con Android versione 4.4.4 o successive. Gli attacchi riusciti alla fine darebbero all’hacker l’accesso agli stessi privilegi del proprietario, inclusi registri delle chiamate, contatti e SMS.
Nel maggio 2019, una violazione di WhatsApp ha utilizzato la funzione di chiamata vocale dell’app per far squillare il telefono di un target, secondo quanto riferito da The Defense Works . L’attacco ha installato malware, anche se il target non ha risposto, quindi ha eliminato la chiamata. La connessione Internet tra il chiamante e i telefoni del destinatario nascondeva pacchetti di dati infetti contenenti codice software. L’hacker potrebbe quindi assumere il controllo dei dati, inclusi registri delle chiamate, messaggi e posizioni, nonché funzioni come la videocamera e il microfono.
Un altro attacco ha comportato vulnerabilità in un chipset Wi-Fi utilizzato in giochi, streaming, laptop e alcuni dispositivi domestici intelligenti, ha riferito Help Net Security .
Questi attacchi prosperano sulla proliferazione di dispositivi mobili. Statista prevede che il solo numero di smartphone raggiungerà i 3,8 miliardi entro il 2021. Le minacce informatiche sfruttano i dispositivi, la copertura della rete e le vulnerabilità del Wi-Fi e la quantità di dati preziosi. Molti di noi trasportano tutte le informazioni personali e riservate nella nostra borsa o tasca che conserviamo sul desktop a casa.
Come prepararsi alle minacce informatiche a zero clic
L’incapacità di identificare un gran numero di attacchi a zero clic non è dovuta alla mancanza di vulnerabilità, secondo Wired. Sono semplicemente difficili da rilevare. Gli utenti di dispositivi Apple infetti, ad esempio, potrebbero notare solo un rallentamento temporaneo o un arresto improvviso dell’app di posta mobile. Il contenuto – un’e-mail, un messaggio o una chiamata – non rimarrà necessariamente sul dispositivo. Ad esempio, ZecOps ha osservato che sebbene i dati confermino che i dispositivi Apple target hanno ricevuto e-mail di exploit, non erano presenti sul server di posta.
Le funzionalità che rendono il software più sicuro possono rendere più difficili da rilevare gli attacchi a zero clic. A causa della crittografia end-to-end di iMessage, ad esempio, Apple o le società di monitoraggio della sicurezza possono trovare difficile individuare messaggi personalizzati a zero clic. Anche gli attacchi meno sofisticati lasciano pochi indizi. I registri degli arresti anomali possono essere un buon punto di partenza per cercare anomalie che potrebbero indicare attività dannose.
Per proteggersi dagli attacchi a zero clic, l’igiene informatica di base è un inizio. Tieni aggiornato il sistema operativo, il firmware e le app su tutti i dispositivi non appena richiesto. Scarica le app solo dagli store ufficiali e disinstalla le app che non usi più. Fai attenzione alle richieste di autorizzazione per installare nuove app, scaricare file sconosciuti o fare clic su collegamenti sospetti.
Utilizza la protezione con password del dispositivo, ma disattiva le connessioni Wi-Fi e Bluetooth automatiche. Non effettuare il jailbreak del tuo telefono cellulare per scaricare app gratuitamente, perché rimuoverai anche la protezione fornita da Apple e Google.
Gli attacchi a zero clic sono ingannevoli, pericolosi e in crescita man mano che la superficie di attacco mobile si espande . Per ora, tieni presente la minaccia zero-click, prendi precauzioni per proteggere il tuo dispositivo mobile e rimanere aggiornato su nuovi attacchi. Inoltre, tieni presente che, poiché il telefono cellulare è diventato sempre più indistinguibile da un computer, la tua azienda deve prendere la sicurezza mobile altrettanto seriamente della sicurezza di desktop e laptop.