ROMA – Immaginate di cliccare il link di un sms ricevuto dal vostro iPhone e di avere visto che non vi interessa. Lo rimettete in tasce e pace. Eppure da quel momento qualcuno in teoria potrebbe aver preso il controllo totale del vostro dispositivo grazie a quello che è stato definito “il malware più potente e sofisticato scoperto finora in iOS”, il sistema operativo dei melafonini e degli iPad. Tranquilli, Apple ha riparato la falla a tempo di record con l’aggiornamento iOS 9.3.5, basta andare nelle impostazioni generali.
A scoprire il tutto – e qui si aprono scenari inquietanti – è stato un dissidente degli Emirati Arabi Uniti, Ahmed Mansoor, che come altri suoi amici militanti si è ritrovato faccia a faccia con questo malware. Ha ricevuto l’sms – nel quale si parlava genericamente di un dossier sulle torture ai detenuti nelle prigioni degli Emirati Arabi Uniti – ma ha pensato bene di non cliccare il link contenuto nel testo. Ha girato il tutto ai ricercatori informatici del Citizen Lab dell’Università di Toronto. Questi, assieme alla società di sicurezza informatica Lookout, hanno scoperto che il link in questione era in grado di installare un programma sfruttando tre falle presenti da anni nel sistema. Che la stessa Apple e altri hacker non avevano mai individuato. Dopo le opportune verifiche, i ricercatori hanno avvisato Apple che si è messa subito al lavoro sviluppando la patch distribuita oggi nell’update per tutti i possessori di iPhone e iPad.
“Una volta infettato, l’iPhone di Mansoor sarebbe diventato una spia digitale nella sua tasca – hanno spiegato i ricercatori – in grado di attivare a richiesta la sua camera e il microfono per spiare ogni attività in prossimità del dispositivo, registrare le chiamate (WhatsApp, Skype, Viber e quant’altro), leggere i log dei vari messaggi mandati dalla chat e tracciare suoi movimenti”. Praticamente tutto. Non è un malware qualunque, si è capito subito. È altamente professionale.
Il Citizen Lab attribuisce la paternità di questi attacchi a un’azienda privata di sistemi di sorveglianza, la NSO Group, fondata nel 2009, israeliana ma la cui maggioranza è detenuta nel 2014 da un fondo americano. Produce per governi e agenzie mondiali software in grado di colpire dispositivi mobili e ottenere informazioni. Il software in questione si chiama Pegasus ed è capace di controllare da remoto l’ultimo modello di iPhone (ma pare possa spiare anche i telefoni Android e BlackBerry). Costa un milione di dollari.
Un portavoce delle NSO, Zamir Dahbash, ha fatto subito sapere che l’azienda “non è in grado di confermare casi specifici” come quelli riportati nel rapporto del Citizen Lab e di Lookout, sottolineando che “il contratto firmato con i clienti richiede che i nostri prodotti vengano usati soltanto in un contesto di legalità. Questi prodotti possono solo essere usati per la prevenzione e le indagini relative ai crimini”. Dichiarazioni di rito, già sentite in casi analoghi come in quello dell’italiana Hacking team che per anni è stata nei mirino degli hacktivisti (e non solo) per aver per aver fornito software di sorveglianza a governi quantomeno poco rispettosi dei diritti umani. Un anno fa l’azienda milanese fu vittima di un attacco di hacker, con pubblicazione in rete materiale commerciale riservato.
Ma come colpisce i suoi obiettivi Pegasus? I ricercatori del Citizen Lab hanno analizzato per adesso solo il meccanismo che porta a prendere il controllo dell’iPhone 6 e proprio grazie all’analisi di questo codice sono riusciti a puntare il dito sull’azienda israeliana. Chi vuol prendere il controllo dello smartphone sfrutta un bug in Safari che permette – tramite un link malevolo – di eseguire un codice che entra dritto nel “cuore” di iOS. Qui, altre due falle consentono di eliminare ogni protezione del sistema e installare il malware chiamto Trident che comincia a comunicare con il server che spia. Non solo: il virus resiste anche se si prova a reimpostare o aggiornare il dispositivo. Continuando a controllare ogni cosa.
Citizen Lab non ha accusato direttamente gli Emirati di aver ordinato l’attacco a Mansoor con Pegasus, ma ha evidenziato come in passato altri attacchi informatici nei confronti di attivisti contrari al regime – ma anche a giornalisti e personalità pubbliche – abbiano chiamato in causa il governo. Il dissidente ha aggiunto di essere stato attaccato in passato anche da software dell’Hacking Team e della Gamma. La questione come sempre è globale. Citizen Lab ha scoperto che tra le vittime di questo malware ci sono anche un giornalista messicano e un politico partito di minoranza in Kenya e che i nomi a dominio impostati in Pegasus sembrano riferirsi a obiettivi in Uzbekistan, Thailandia, Arabia Saudita e Turchia.