Lo scorso 17 agosto Apple ha rilasciato alcuni update per la sicurezza per i propri dispositivi iPhone, iPad e Mac, per risolvere due vulnerabilità ritenute all’azienda di Cupertino molto pericolose in termini exploit. In altri termini, gli aggiornamenti mirano a risolvere due problemi di sicurezza in WebKit, il browser engine alla base di Safari ed altre applicazioni molto utilizzate sui sistemi operativi desktop e mobile di Apple: iOS, iPadOS e macOS Monterey.
Nel suggerire caldamente l’applicazione dell’aggiornamento di sicurezza, Apple ha precisato come la vulnerabilità scoperta sul WebKit possa dare luogo ad un exploit qualora sul dispositivo venisse eseguito un contenuto web in grado di generare una arbitrary code execution.
La seconda vulnerabilità, secondo Apple, consentirebbe ad un’applicazione malevola di dare luogo ad una arbitrary code execution con privilegi di kernel, tali da garantire all’attaccante il totale controllo del dispositivo vittima.
Secondo alcuni analisti, la criticità, più che dal singolo bug, deriverebbe da un possibile exploit combinato, in grado di sfruttare insieme entrambe le falle note. È infatti noto come alcuni spyware, molto utilizzati nell’ambito degli attacchi nation state, impieghino con successo due o più vulnerabilità per bypassare con successo i sistemi di protezione hardware e software dei dispositivi violati.
Attraverso una vulnerabilità nota del browser, l’attaccante potrebbe infatti accedere al sistema operativo e trovare il modo per sfruttare altre vulnerabilità, con l’obiettivo di garantirsi privilegi e livelli di controllo sempre maggiori, per accedere relativamente indisturbato ai dati più critici.
Nuovi dubbi sulla sicurezza di iOS: il problema delle VPN
Mentre gli utenti iPhone, iPad e Mac si apprestano stanno scaricando ed installando gli ultimi aggiornamenti consigliati da Apple, sulle colonne digitali di The Register, in un recente articolo a firma di Thomas Claburn (https://www.theregister.com/2022/08/19/apple_ios_vpn/) viene riportata a galla una polemica emersa circa un paio d’anni fa, in merito all’incapacità delle VPN di criptare in maniera corretta e sicura tutti i dati di traffico nelle connessioni su iOS.
I fatti di allora vedevano il mail provider ProtonVPN rilevare una vulnerabilità in iOS 13.3.1, per cui il sistema operativo non riusciva a terminare in maniera corretta le connessioni. Tale dettaglio può consentire ad un attaccante di rilevare l’IP di chi utilizza una VPN e sfruttarla per le proprie attività malevole, vanificando in buona sostanza l’utilità di una Virtual Private Network.
Utilizziamo il verbo al presente perché, secondo quanto rilevato da The Register, il problema sarebbe ancora attuale. Apple avrebbe trovato una soluzione per i sistemi enterprise (https://support.apple.com/it-it/guide/deployment/depae3d361d0/web) ma non per i sistemi consumer, almeno in relazione ai successivi aggiornamenti (da iOS 13.4 a iOS 14.x), secondo quanto analizzato dalla stessa ProtonVPN in una serie di regolari report analitici.
La questione era finita in qualche modo, se non nel dimenticatoio, quanto meno in stand-by, fino a quando, all’inizio del 2022, lo sviluppatore Micheal Horowitz ha deciso di intraprendere una serie di test sulle più recenti versioni di iOS, scoprendo come il problema delle VPN su iOS sia rimasto tale e quale rispetto al 2020. Non più tardi dello scorso 5 agosto, Horowitz in un post dall’eloquente titolo “VPNs on iOS are a scam” (https://www.michaelhorowitz.com/VPNs.on.iOS.are.scam.php), ha ribadito come “Le VPN su iOS non funzionano […] In prima battuta paiono funzionare in modo corretto, in quanto il dispositivo iOS ottinee un nuovo IP pubblico e i nuovi server DNS e invia tali dati al server VPN […] In seguito un’ispezione dettagliata dei dati in uscita dal dispositivo iOS rivela che il tunnel VPN è vulnerabile, perché i dati escono fuori dal tunnel VPN, si tratta quindi di un vero e proprio data leak”. Il post di Horowitz, attraverso una cronologia incredibilmente dettagliata, riassume con puntualità tutte le tappe della vicenda emersa nel 2020 a seguito della segnalazione di ProtonVPN.
Le affermazioni di Horowitz sono costantemente supportate dai log del router, che evidenzierebbero chiaramente la presenza di un data leak.
I silenzi di Apple non mettono a tacere i dubbi sulla sicurezza dei suoi sistemi
Quando si parla di vulnerabilità dei sistemi IT, è sempre importante valutare la criticità e l’effettivo rischio che deriva dal potenziale sfruttamento da parte di un soggetto malintenzionato. Non a caso esistono programmi come il CVE, che si occupano nello specifico di classificare e catalogare le minacce informatiche in funzione della viralità e del potenziale danno.
Nel caso della vulnerabilità PACMAN (https://www.sergentelorusso.it/apple-pacman-attack/), recentemente scoperta dal MIT in merito alla piattaforma Apple M1, gli effetti di un attacco sarebbero potenzialmente devastanti, ma è molto difficile riuscire a dare effettivamente luogo all’exploit.
È normale, ed accadrà sempre, che l’hardware e i sistemi operativi dei sistemi più diffusi al mondo siano soggetti a vulnerabilità. Tante volte basterebbe una smentita per rassicurare milioni di utenti e i sistemisti che sono chiamati a garantire l’affidabilità della loro infrastruttura IT.
Da questo punto di vista, Apple si rivela sempre molto criptica e scarsamente incline a rispondere alle critiche e alle evidenze che vengono segnalate. Non parliamo di richieste di chiarimento da parte di blogger improvvisati, ma dei principali media IT al mondo, che hanno nella propria missione divulgativa quella di informare la quasi totalità degli addetti ai lavori, coloro che devono quotidianamente acquisire e gestire i sistemi per le loro aziende e per i loro clienti.
Preso atto delle pesanti accuse di Horowitz ad iOS per quanto concerne la sicurezza e l’utilità stessa di una VPN sul sistema operativo di iPhone, The Register ha provato a contattare Apple chiedendo chiarimenti ma, stando a ciò che afferma Thomas Claburn, tale richiesta è rimasta totalmente ignorata: “La costante resistenza di Apple nel dialogo con il pubblico, con la stampa e con la security community, nel rispondere in maniera chiara ai dubbi, a fornire aggiornamenti in merito alle vulnerabilità note fa si che problemi come questi alimentino un clamore diffuso, che non può essere ignorato. Si tratta di una mentalità bunker della comunicazione che ha consentito ad Apple di concepire iniziative come il CSAM scanning plan, che gli è letteralmente esploso in faccia, non appena gli utenti ne sono venuti a conoscenza”.
Il riferimento di Claburn è alla nota vicenda, emersa nel dicembre 2021, secondo cui Apple aveva tacitamente implementato su iOS 15.2 un sistema di sex crime detection per rilevare eventuali contenuti lesivi ai minori conservati su iCloud. Iniziativa nobile in termini di intenti, ma per vari aspetti discutibile dal punto di vista della privacy, al punto da scatenare una violenta ondata di critiche negli Stati Uniti, che ha portato Apple a far sparire da un giorno all’altro ogni citazione allo CSAM scanning plan da tutti i canali ufficiali, senza dare alcuna spiegazione. Dopo varie insistenze da parte della stampa americana per sapere qualcosa a riguardo, Apple si è limitata a dichiarare come l’iniziativa fosse stata al momento sospeso, ma non cancellata.
Non è un mistero che i big tech, sfruttando le molte zone grigie della normativa e della loro giurisdizione a livello internazionale, abusino spesso dei dati dei loro utenti, ma la scarsa trasparenza in merito finisce per gettare ombre anche laddove le finalità, se opportunamente condivise, potrebbero generare effetti utili anche alla collettività e non all’esclusivo tornaconto dei vendor.
Tornando al caso della vulnerabilità di iOS sulle VPN, il fatto che Apple continui ad ignorare pubblicamente le segnalazioni ricevute, non aiuta a fare luce sui potenziali data leak a cui potrebbe essere soggetto chi si affida ad una VPN proprio per evitare tale problema.
Lo stesso Horowitz scrive di aver sempre informato Apple riguardo il VPN data leakage da lui analizzato, senza aver mai ricevuto una risposta: “Non hanno mai detto di aver provato a ricreare il problema per testarlo. Non hanno mai detto che quanto rilevato potesse trattarsi di un bug. Non hanno mai detto nulla in merito ad un eventuale fix”. Infatti, nel momento in cui scriviamo, tala vulnerabilità sarebbe regolarmente attiva.
Oltre ad ignorare la stampa e gli analisti indipendenti, Apple riserverebbe lo stesso trattamento anche ai vendor di terze parti. Dopo che la notizia del problema di iOS con le VPN si è diffusa pubblicamente, Yegor Sak, co-fondatore del servizio VPN Windscribe, ha affermato di aver inviato a sua volta molte segnalazioni ad Apple riguardo lo stesso problema rilevato da Horowitz, senza aver ricevuto alcuna risposta.