Pegasus è un kit di spionaggio informatico in grado di infettare un dispositivo iOS con un semplice clic su di un link web e capace di prendere il completo controllo di moltissime funzioni del sistema operativo. Apple ha già rilasciato un aggiornamento (iOS 9.3.5) che chiude le vulnerabilità.
Da un tablet o smartphone infettato, un hacker può leggere i messaggi di posta o di altri servizi di messaggistica, prendere foto dello schermo, rubare password, spiare la navigazione web e avere accesso completo a tutti i dati non crittografati. Per quelli crittografati, basterà attendere che il possessore decida di accedervi e ottenere così la password.
L’infezione completa è resa possibile sfruttando tre vulnerabilità concatenate, ma tutto parte con la CVE-2016-4655, un bug in Webkit che permette l’esecuzione di codice in remoto tratto da pagine web malevole costruite appositamente.
Il malware scaricato ed eseguito grazie alla prima vulnerabilità passa poi a sfruttarne altre due: la CVE-2016-4656, che a seguito di un errore nella validazione di un input permette a una qualsiasi app di vedere il kernel di un’altra applicazione in memoria, e la CVE-2016-4657, un bug che permette l’esecuzione di codice da remoto innescato da una corruzione del contenuto della memoria del dispositivo.
In parole povere, basta cliccare sul link sbagliato e si mette il proprio dispositivo nelle mani di un hacker, senza che si abbia il minimo indizio di cosa sta accadendo.
I ricercatori delle due società che hanno scoperto il kit in azione sui dispostivi Apple hanno ricevuto una segnalazione da Ahmed Mansoor, un attivista per i diritti umani che è già stato in passato il bersaglio di campagne di spionaggio informatico da parte di entità statali.
Tra i suoi SMS, Ahmed Mansoor ne aveva trovato uno con un link sospetto e invece di cliccarci sopra ha ben pensato di inviarlo agli esperti di Lookout e Citizen Lab per evitare sorprese.
Il risultato è stato che il malware in questione, chiamato Trident, è parte del kit di spionaggio informatico Pegagus, prodotto dalla società di sicurezza israeliana NSO Group e usata da molti governi nel mondo.
NSO Group ha tenuto a specificare che nel contratto di licenza del software è specificato molto chiaramente che i clienti (ovvero i governi) si impegnano a usare il kit solo per investigazioni lecite mirate a prevenire dei crimini o risalire a chi li ha commessi.
Purtroppo, la formula usata da NSO Group ha qualche risvolto poco lungimirante dal momento che in molti Paesi vengono considerati crimini anche comportamenti che altrove rientrano nel pieno esercizio dei propri diritti, come la dissidenza politica.
Sempre secondo l’analisi compiuta dagli esperti, ci sono forti indizi che tra i clienti di NSO Group si trovino gli Emirati Arabi, il Messico, il Qatar, la Turchia, l’Uzbekistan, il Kenia, il Bahrain, la Nigeria, la Tailandia, l’Ungheria, il Marocco.
Le vulnerabilità sfruttate da Trident sono efficaci su praticamente tutti i dispositivi Apple, a partire da iPhone 4S, iPad 2 e iPod Touch di quinta generazione in poi.
Il consiglio è ovviamente quello di aggiornare il sistema operativo prima possibile, in quanto dopo la pubblicazione di una vulnerabilità i cybercriminali si attivano per cercare di sfruttarla e non è il caso di farsi cogliere impreparati.