iPhone, hacker cerca la porta segreta per spiare gli smartphone
Pubblicato il 28 Luglio 2014 - 10:29 OLTRE 6 MESI FA
Un iPhone
ROMA – Non solo applicazioni prodigiose. Nei cinquecento milioni di iPhone, ci sarebbe molto più di quanto gli utenti non riescano a immaginare: in particolare una porta segreta attraverso la quale potrebbero uscire le informazioni personali senza il consenso degli interessati.
Il sistema operativo iOs, cervello dell’iPhone, è sospettato di un serio deficit di sicurezza, un varco che consentirebbe di trasformare lo smartphone in una “spia della rete”. Ma il dubbio più clamoroso è che queste funzionalità siano attuabili da remoto, cioè a distanza: cosa che spinge gli esperti a ritenere che siano state inserite per scopi che poco hanno a che fare con l’esigenza di compiere interventi antivirali sul prodotto.
Scrive Edoardo Segantini sul Corriere della Sera:
L’autore della scoperta è l’informatico americano Jonathan Zdziarski, che l’ha resa pubblica durante la Hackers On Planet Earth Conference di New York. Zdziarski è considerato uno dei maggiori esperti globali di informatica forense e sicurezza: consulente di governi e grandi aziende, è stato un celebre hacker, noto con il nomignolo di NerveGas (gas nervino).
Ne sa qualcosa il colosso telefonico statunitense At&t, cui l’hacker giocò un costosissimo scherzo per la delizia degli utenti: inventò, con altri, un meccanismo per «sbloccare» gli iPhone nella fase in cui il contratto esclusivo Apple-At&t obbligava la Mela a vendere solo attraverso l’ex monopolista e gli utenti a diventare abbonati di At&t. Il software-grimaldello, non a caso chiamato «Jailbreak», diede il «liberi tutti» e permise al pubblico di utilizzare l’iPhone con qualsiasi operatore.
Le sue rivelazioni alla Conferenza di New York hanno impressionato gli esperti come Giovanni Pau, informatico del Computer Science Department presso la Ucla di Los Angeles, e il suo collaboratore Davide Pesavento. «Colpisce soprattutto — dice Pau — il meccanismo, attivabile a distanza, che trasforma l’iPhone in uno sniffer: in questo modo, ad esempio, il telefono potrebbe catturare tutti i pacchetti di informazioni che riceve in Wi-Fi e salvarli da qualche parte. Cinquecento milioni di iPhone potrebbero, se opportunamente attivati, diventare delle spie del traffico sulla rete Wi-Fi». Questo pericolo, precisa Pau, vale per il web in chiaro ma non per quello criptato e sicuro come, per esempio, il mobile banking.
L’altra cosa che colpisce gli esperti, prosegue il tecnologo italiano, è «la possibilità di mandare in forma compressa tutti i dati presenti nel database interno dell’iPhone a una postazione remota».
E tra le informazioni che si possono acquisire a distanza, secondo Zdziarski, ci sono gli account (email, Facebook, Twitter, iCloud), le memorie cosiddette cache (rivelano che cosa l’utente sta facendo in rete o quali siti visita), la cache del Gps (indica dov’è stato l’utente), ma anche i «metadati» (i nomi e le dimensioni dei file) dell’intero contenuto dell’iPhone nonché tutte le foto.
Quali implicazioni ha la rivelazione di Zdziarski? Il pensiero corre, inevitabilmente, a Edward Snowden, alle tante violazioni della privacy e alle spregiudicate operazioni di intelligence della National Security Agency, che, pur con fondate ragioni di sicurezza, ha spiato i dati personali dei cittadini di mezzo mondo.«Certamente — dice Pau — non ci sono motivi tecnici, magari legati al debugging o all’ingegneria del prodotto, che giustifichino l’esistenza di una “porta segreta” nel sistema iOs. Sembra piuttosto si sia voluto lasciare aperta la possibilità di accedere al telefono e soprattutto di comandarlo da remoto. Per giunta queste funzionalità, non essendo documentate, anzi essendo state finora ignote, non sono neppure utili agli sviluppatori».
Volendo pensare al peggio, dice il ricercatore, si può fare una congettura di questo tipo: «Lo sniffer, attivabile dall’esterno, permette a un’entità X (controspionaggio? magistratura?) di catturare ogni pacchetto di dati fisicamente ricevibile dall’antenna Wi-Fi del cellulare. Il pacchetto diventa così “leggibile” da parte di X. E senza che l’utente, a meno che non navighi sul web mobile criptato, ne sappia alcunché».
La Apple, in una dichiarazione riportata in queste ore dalla testata online Techtimes , è molto netta: non collaboriamo con alcuna organizzazione di controspionaggio (…)
