iPhone hackerati visitando siti web dannosi, coinvolti anche Google e Microsoft

02 Settembre 2019 610

Aggiornamento 02/09

L'attacco segnalato da Google la settimana scorsa sembra essere di dimensioni ben più grandi di quanto inizialmente si pensasse. A riportare la notizia è Forbes, secondo cui l'hack sarebbe stato indirizzato anche verso Android e Windows, con l'intento di infettare i dispositivi del gruppo etnico di minoranza degli uiguri, ormai da tempo soggetto a discriminazioni da parte delle autorità cinesi (se ne era parlato anche in occasione del ban imposto dagli USA ai sistemi di video-sorveglianza).

A quanto pare, dunque, anche Google e Microsoft sarebbero stati colpiti tramite gli stessi siti che hanno coinvolto gli iPhone. Per ora, l'azienda di Redmond si è limitata a dire che

Google Project Zero è stato molto specifico nel suo post sul blog sul fatto che gli attacchi recentemente emersi hanno utilizzato exploit iPhone unici e non ci hanno rivelato informazioni simili. Microsoft ha un forte impegno nell'indagare sui problemi di sicurezza segnalati e, se verranno divulgate nuove informazioni, adotteremo le misure appropriate per proteggere i clienti.

Articolo originale - 30/08

I ricercatori di Google hanno individuato diversi siti web dannosi che, una volta visitati utilizzando un iPhone, compromettono la sicurezza del dispositivo, sfruttando vulnerabilità della piattaforma software - le versioni interessate vanno da iOS 10 a iOS 12. Tali falle sono state sfruttate per almeno un paio d'anni ai danni di inconsapevoli utenti che hanno aperto i suddetti siti - si fa riferimento a migliaia di visite a settimana. E' corretto premettere che:

  • Google ha segnalato privatamente le vulnerabilità ad Apple a febbraio scorso
  • Apple ha rilasciato 6 giorni dopo la segnalazione le opportune correzioni integrandole in iOS 12.1.4

I ricercatori hanno individuato cinque distinte catene di exploit che hanno sfruttato 12 falle nella sicurezza del sistema operativo di Apple, di cui sette riconducibili al browser Safari. Le cinque catene di attacco hanno consentito agli hacker di ottenere i privilegi di root, ovvero il più elevato livello di controllo del dispositivo che consente, ad esempio, l'installazione di applicazioni dannose e di monitorare l'attività dell'utente a sua insaputa.

Non si è trattato di rischi solo teorici, visto che in base alle indagini effettuate da Google è emerso che le vulnerabilità sono state concretamente utilizzate per sottrarre foto e messaggi e per tracciare in tempo reale la posizione. Non si può escludere a priori anche l'accesso alle password memorizzate nel dispositivo.

iOS 12.1.4, come detto, ha chiuso le falle, ma quanto riportato da Google è utile per tornare a riflettere sui rischi della sicurezza che si determinano effettuando operazioni molto semplici come la navigazione internet e senza interagire in alcun modo con i siti web (basta semplicemente aprire quelli dannosi senza alcuna selezione di elementi in essi contenuti): la semplice visita del sito compromesso è stata sufficiente affinché il server dell'exploit attaccasse il dispositivo e, se l'attacco ha avuto esito positivo, ad installare un impianto per il monitoraggio, sottolinea Ian Beer di Project Zero.

Altra ragione per non archiviare del tutto l'analisi di Google sta nel fatto, come conferma Beer, che è possibile che analoghe campagne hacking siano tuttora in corso. La tipologia di attacco descritta è particolarmente insidiosa, visto che i siti visitati possono risultare del tutto leciti agli occhi degli utenti finali; in questo caso, il filtro deve essere a posto monte - ovvero eliminando le vulnerabilità. Apple si sta muovendo attivamente in questa direzione come dimostra il recente provvedimento che prevede una ricompensa di 1 milione di dollari per chi trova il modo di accedere al kernel di iPhone da remoto e senza alcuna interazione da parte dell'utente.

Il miglior display sul mercato e un design fantastico? OnePlus 7 Pro è in offerta oggi su a 560 euro oppure da Amazon a 739 euro.

610

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Hardcorekernel

No, ho Android

Pixel 2 XL

Mario

Bucano iOS, creo un account su hdblog e la butto in caciara, complimenti per l'impegno dosastroso.

Peppol
Hardcorekernel

Ti invito a leggere i report di cure53 su l'app usata per schedare questa etnia in cina

Inoltre c'è il docu della bbc sui campi di concentramento sempre per questa etnia

Hardcorekernel

Aggiungo che si tratta di qualcosa di vecchio in quanto la stessa HRW condannò il controllo di massa su questa etnia; Cure53 fece il report dell'app usata per schedare l'etnia

Hardcorekernel

Ho inserito la comunicazione di Apple all'inizio della pagina

Sono siti inerente alla comunità Uighur; (c'è la vostra amica cina di mezzo)

Hardcorekernel

Ah, quindi fai parte dell'etnia
Uighur?

Hardcorekernel

Guarda lo statement che ha rilasciato...

Se anche tu fai parte dell'etnia Uighur posso offrirti tutto il supporto che vuoi per poter usare internet liberamente senza il controllo delle autorità cinesi

Hardcorekernel

Ah, quindi fai parte dell'etnia
Uighur?

Se si, ti offro tutto il mio supporto

Hardcorekernel

Fai parte dell'etnia Uighur ?

Hardcorekernel

Gli Uighur sono sotto stretto controllo da parte della Cina, per chi non fosse a conoscenza vi invito a visionare il docu della BBC e il report di HRW

The attack affected fewer than a dozen websites
that focus on content related to the Uighur community.

Hardcorekernel

Apple rilascia attraverso il suo ufficio stampa una disclosures in merito a questa presunto hack globale tanto amato da HDblog e dai suoi utenti per il suo clickbaiting

Last week, Google
published a blog about vulnerabilities that Apple fixed for iOS users in
February. We’ve heard from customers who were concerned by some of the
claims, and we want to make sure all of our customers have the facts.

First, the sophisticated
attack was narrowly focused, not a broad-based exploit of iPhones “en
masse” as described. The attack affected fewer than a dozen websites
that focus on content related to the Uighur community. Regardless of the
scale of the attack, we take the safety and security of all users
extremely seriously.

Google’s post, issued six
months after iOS patches were released, creates the false impression of
“mass exploitation” to “monitor the private activities of entire
populations in real time,” stoking fear among all iPhone users that
their devices had been compromised. This was never the case.

Second, all evidence
indicates that these website attacks were only operational for a brief
period, roughly two months, not “two years” as Google implies. We fixed
the vulnerabilities in question in February — working extremely quickly
to resolve the issue just 10 days after we learned about it. When Google
approached us, we were already in the process of fixing the exploited
bugs.

Security is a
never-ending journey and our customers can be confident we are working
for them. iOS security is unmatched because we take end-to-end
responsibility for the security of our hardware and software. Our
product security teams around the world are constantly iterating to
introduce new protections and patch vulnerabilities as soon as they’re
found. We will never stop our tireless work to keep our users safe.

Jam

Ahahahahaha, fenomeno, e come fai a sapere se quel sito è dannoso? Ahahahah.
Ti esce il pop-up con scritto: "hei scaricalo, premi esci perché questo sito ti massacra il telefono"?
Ahahahah, come puoi non andare su quel sito se non si conosce quale sito sia?

Teomondo Scrofalo

POSSO NON ANDARE SUL QUEL SITO.

Hardcorekernel

Il paladino del clickbait intendi in pieno stile hdblog.

Da quando hdblog si occupa di sicurezza ?

Ovviamente solo quando c'è qualcosa di clickbaiting

Dark!tetto

Ma lui è haXer queste cose le sa...

JO

Proprio non ci arrivi a capire che non c'entra niente dire anche gli altri hanno delle vulnerabilità !!!! Quando ti fai paladino della sicurezza a suon di pubblicità come ha fatto Apple e poi cadi fai molto più rumore e a dire il vero crea anche molta delusione visto che la gente che ha speso sentisoldi siin Apple si credeva al sicuro e invece era tutta una grande bugia creata solo per vendere.

Hardcorekernel

Per tutti coloro che infamavano Apple è stata scoperto di recente dai ricercatori di ZDI una 0 Day su Android

ZDI Canale
https://t. me/joinchat/AAAAAFhZcZCs0XOGqZXzHA

Hardcorekernel

Aggiornamento by ZDI

https://uploads.disquscdn.c...

Bastia Javi

Sai chi sono, ovvio di no, ecco cosa succede quando tutto cio' che sia di informatica viene dai blog di cellularetti.
Se leggi tutti commenti vedrai che tutto ha inizio con l'ultras Caio Mario che sostiene che chi non aggiorna etc etc e l'altro utente che risponde affermando che in questo caso non è servito tanto essere aggiornato perché se è un zero day non lo sa neanche la casa madre (apple in questo caso) per questo non può chiudere la falla con aggiornamenti programmati.

Bastia Javi

So molto bene cos'è un zero day, il mio commento è a seguito del affermazione di Caio

Lorenzomx

Ma no, è Ori

Hardcorekernel

Bello il tuo nick da disagiato LOL

Hardcorekernel

Ti vedrò al tedx allora ?

Stellina

Quindi lo dovremmo chiedere ad apple come mai non è stata chiara e ha messo tutto a tacere, forse perché altrimenti gli casca il palco di tutte le pubblicità spinte sulla sicurezza, boh, baci baci

Dark!tetto

https://uploads.disquscdn.c...

È tutto scritto li eh non serve mica uno screen per capire che sei totalmente fuori strada, ma visto che alle elementari ti hanno insegnato solo a iscriverti agli RSS è ovvio che non comprendi.

Il tuo primo commento :
gne gne io ho il nick da programmatore e voi per dimostrare che siete meglio di me dovete pubblicare un live davanti ai programmatori o non potete commentare.

Il mio primo commento:
Basta una persona comune per capire che, al contrario di quello che asseriscono molti utenti del blog, non c'è un sistema sicuro al 100%. Ho aggiunto che è grave per un OS, che fa della sicurezza il suo cavallo da battaglia, una falla che viene sfruttata da 2 anni, seppur quell'azienda è quella più attiva e celere a distribuire le patch una volta scoperta la falla.

Il tuo secondo commento:
gne gne ma gli altri bla bla bla sono povero di argomentazioni e spero nell'ignoranza del mio interlocutore sparando termini tecnici (che io usavo quando ancora dovevi nascere ndc) e faccio discorsi qualunquisti sperando che la discussione si sposta.

Poi la ciliegina sulla torta ... FORSE NON MI CONOSCI
beh ti sei fatto conoscere e non certo per tuoi meriti positivi che potresti anche avere, ma vanifichi per la evidente preferenza per un brand più che per il tuo lavoro/passione. Il corso su babbel lo farei comunque perchè vedo che non cogli il punto della discussione o semplicemente come succede sempre a chi ha la mente annebbiata da qualcusa ti arrampichi sugli specchi e lo fai pure male e con la persona sbagliata, perchè sei tu che non mi conosci, ma avresti potuto capire.

PS: Ci sono voluti 2 minuti a scriverlo, non serve molto tempo quando sei una persona seria e con un pò di capoacità di battitura.

Dark!tetto

Lavoro al PC da oltre 20 anni, ci vuole un secondo. Con queste affermazioni non fai altro che confermare ciò che dico, che sei povero di argomentazioni e pieno di te. E poi pensi che ci vuole tanto tempo per scrivere 10 righe di testo, bel programmatore ahahaha

Ciao

Hardcorekernel

0 screenshot ma tante parole insomma

Hardcorekernel

ok...

vedo che hai parecchio tempo per scrivere

Dark!tetto

Non c'è come non c'è il mio che cito altri brand, ma visto che non hai idea di quello che stai dicendo ho postato una cosa qualsiasi. Tanto stai commentando solo per 2 motivi,il primo vuoi fare lo splendido perchè hai imparato 2 cose e pensi che qui siamo nati ieri e ti basta buttare li quattro termini (per quando corretti) per. Il secondo è che ti hanno toccato il brand preferito e lo dimostra il fatto che non rispondi al mio commento, ma parti a 3000 con cose che non c'entano nulla. Ricordati che A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio (cit.). E tu nonostante la tua apparente preparazione nel campo della programmazione, hai delle grandi lacune a livello di comprensione. Non serve essere programmatore per commentare un articolo, ne per capire che come ho detto nel mio primo commento, non esistono sistemi sicuri al 100%. Quando io dico questo e tu rispondi che se vuoi mi fai vedere quanto siano insicuri Xiaomi e compagnia o sei accecato al punto da non capire qual'è il punto o sei non ci arrivi proprio.

Ora io sono una persona a cui piace confrontarsi, e se non sei in grado di contribuire alla nostra discussione in modo intelligente, ma sai solo dire "le falle degli altri...il mio feed...io programmatore...bla bla bla" non avrai più risposta da me.

PS: Prima che ti senti insultato, se ignori qualcosa sei ignorante in quel campo, e non è cambiando discorso che la tua condizione cambia, ma cercando di apprendere. E ricorda che qui c'è chi il tuo lavoro o passione ce l'ha da più tempo di te ed è più capaci de te.

Hardcorekernel

Articolo che avevo già visionato dato che Project Zero fa parte dei miei feeds.

Saresti così gentile da evidenziare il commento dove affermo che iOS è sicuro al 100%

(screenshot please)

Gianluca

Hai detto tutto...

Hardcorekernel

Vabbe, ho capito che non riesci a fornirmi la documentazione.

É inutile continuare la discussione quando basterebbe un semplice link per risolvere il tutto

Bacioni (come dice il capitano)

Stellina

Quindi tu stai dicendo che tutto il mondo mondo informatico mente e diffonda false accuse ad apple che se sta zitta e non dice nulla di tutta questa pubblicità negativa?
è naturale che i nomi dei siti (che saranno sicuramente ancora attivi perché chiudere un sito in alcuni stati è impossibile) non li divulgano per sicurezza degli utenti che magari non hanno ancora aggiornato ios, la non divulgazione servirà anche per circoscrivere l'evento ma ci dovresti arrivare anche da solo viste le tue fantomatiche conoscenze informatiche.

Hardcorekernel

Va bene ma, oltre a commentare inutilmente riesci a fornire qualche documentazione in merito o, come i tuoi colleghi preferisci scrivere a caso ?

É inutile attaccare la persona e mostrare il vostro lato maschio della vita

Cristo, mostrami quella disclosures, dimmi i nomi dei siti internet invece di dare del buffone a caso

Hardcorekernel

Mi sta bene ma esiste questo benedetto whitepaper con i famosi siti ?

Esiste una disclosures ?

É un po come il ponte di messina, tutti ne parlano, tutti hanno la soluzione ma di ponti per il momento 0

Stellina

Ma perché devi parlare di huawei se l'articolo dice di che hanno sfruttato 12 falle nella sicurezza del sistema operativo di Apple, di cui sette riconducibili al browser Safari. Le cinque catene di attacco hanno consentito agli hacker di ottenere i privilegi di root solo visitando un sito web ? non sai leggere fai il finto tonto?????????

JO

Hai sbagliato sito, questo è un blog di tecnologia, i malati di scripting hanno i loro canali ufficiali e non, tu sei solo un buffone a quanto si legge.

Hardcorekernel

Puoi contattarmi @scafroglia93 o su hardcorekernelgroup

https://t. me/joinchat/AKHle0sTTxwCaFuvWaCWXg

Ti aspetto

Hardcorekernel

Bene, dopo l'ennesimo post insulso ti chiedo:

Hai qualche documentazione certificata da qualche ente certificato che dimostra la tua teoria a discapito della mia ?
Dimostrami le tue affermazioni con della documentazione certificata

PS:
Ci pensi te a creare l'user su babbel ?
La SSH la mandi su telegram @scafroglia93

Grazie

Dark!tetto

I tuoi sono discorsi che non c'entrano na mazza se non lo hai capito, la tua competenza in questo caso vale 0. In mezzo ai tuoi 120 feed ce n'è uno che dimostra la sicurezza al 100% di iOS ? Poi la tua competenza tienila per te, che qui dentro meglio di te ce ne sono a centinaia, ma non stanno qui ad autoelogiarsi come i ragazzini. Hai detto na str0nzata (non il contenuto) che non c'entra ne con l'articolo ne con quello che ho scritto io. Quindi fai un favore a te stesso e usa questa tua competenza per accedere ai server babbel e scaricati un corso di italiano. E se ti riesce difficile da capire è un pò come dire che anche se la classe A di Mercedes si ribalta in curva, non fa niente perchè le tesla prendono fuoco, il tutto per giustificare la classe A. Non c'è da avere conopscenze tecniche, ma qualità che evidentemente non hai come l'umilta e la capacità di capire un concetto semplice, cioè che iOS non è sicuro al 100% e questo non cambia se gli altri non sono sicuri. I dati reali non sono inerenti a questo se non quello già riferito in questo articolo e preso come spunto del commento.
Fine

Hardcorekernel

Huawei
https://t. me/joinchat/AAAAAEuNlFA3eu0iarBYRQ

Gli stessi canali istutuzionali (CERT Nazionale, GARR CERT e CERT-PA) non hanno nessuna informazione in merito

Hardcorekernel

Potresti gentilmente caricare una schermata con il report dello US-CERT o magari del CVE dove vengono evidenziati i danni che cha creato questo zero day ?

Hardcorekernel

Figa, devo mandarti la publick key della mia gpg per la verifica della persona ?

Hardcorekernel

I miei sono discorsi da persona che ha una competenza e sopratutto che si informa con dati reali non tramite articoli tradotti senza nessun senso.

Poi sei libero di verificare tu stesso attraverso i 120 feed che ho creato in ottica OSINT su Telegram

PS:
Forse non mi conosci per bene

Hardcorekernel

Hai qualche dato da mostrarmi ?

Perchè non fai una bella estrazione con qualche script phyton per verificare il patching completo ?

Lollo
Lollo

Non so cosa sia peggio tra i MacBook che esplodono e bannati dalle compagnie aeree o questa del furto dei dati su iOS, sempre peggio Apple

KiTo

Anche l'ultima scusa predefinita di chi compra l'iphone cade. Ora davvero vi conviene metterci un adesivo sul logo.

JO
Apple

Apple iPhone 11 Pro: live batteria (3.046mAh) | Fine ore 20.13

Huawei

24 ore con Huawei Watch GT 2: più bello e rapido

Apple

Apple Watch Serie 3 42mm GPS + LTE su Amazon al super prezzo di 299 euro

Xiaomi

Xiaomi Mi 9 Lite ufficiale in Italia, in vendita da ottobre | Video