iPhone e Mac sono vulnerabili a un nuovo attacco che colpisce tutti i dispositivi con processore Apple della serie A o M: si chiama iLeakage, sembra molto semplice da attuare e permette di costringere Safari a rivelare password, contenuti delle mail e altri dati. La notizia peggiore? Per il momento, non ha una soluzione.
iLeakage è stato scoperto da alcuni ricercatori, che ne hanno anche coniato il nome. È un attacco side channel basato sull’esecuzione speculativa, che viene implementato come un sito web. Quando la pagina viene visitata da un Mac o un iPhone vulnerabile, il codice JavaScript presente apre segretamente un sito separato scelto dall’attaccante e recupera i contenuti visualizzati. iLeakage può essere usato per rubare la cronologia di YouTube, i contenuti della casella Gmail (la vittima deve aver eseguito il login) o una password, se questa viene inserita automaticamente da un gestore di credenziali. Una volta che si visita il sito malevolo, l’attacco impiega circa 5 minuti per profilare la macchina bersaglio e 30 secondi per estrarre una stringa di 64 caratteri.
I ricercatori affermano che "Il nostro lavoro dimostra come un attaccante possa indurre Safari a renderizzare una pagina web arbitraria, recuperando successivamente informazioni sensibili presenti al suo interno utilizzando l’esecuzione speculativa. In particolare, dimostriamo come Safari permetta a una pagina web malevola di recuperare segreti da bersagli ad alto valore, come i contenuti delle caselle di posta Gmail. Infine, dimostriamo il recupero delle password, nel caso in cui queste vengano compilate automaticamente dai gestori di credenziali."
Quest’ultima parte è estremamente delicata: anche se usate uno dei migliori password manager, abilitare l’autocompletamento vi espone all’attacco; il consiglio è quindi quello di rimuovere le password dal portachiavi di Safari e disattivare la funzione, inserendo la password con un normale copia-incolla quando ce n’è bisogno.
Come se non bastasse, mentre iLeakage funziona solo su Safari per quanto riguarda Mac, è compatibile con qualsiasi browser su iOS e iPadOS, dal momento che tutti sfruttano il motore WebKit di Apple. Un rappresentante della società di Cupertino ha dichiarato che l’azienda è consapevole della vulernabilità e prevede di affrontarla in un prossimo aggiornamento software.
I chip Apple della serie A e della serie M presentano misure di sicurezza contro gli attacchi che sfruttano l’esecuzione speculativa, ma iLeakage riesce a superarle. È probabile che molti bersagli riconoscano la finestra pop-up aperta e la chiudano, ma l’attacco continuerebbe comunque, dato che il codice è in memoria.
L’attacco richiedere risorse davvero minime per essere portato a termine, ma la buona notizia è che ha bisogno di una competenza tecnica molto avanzata, motivo per cui è difficile che venga usata attivamente dai malintenzionati (e finora non è ancora stata sfruttata al di fuori di questa ricerca). La speranza ovviamente è che Apple rilasci una patch prima che qualcuno riesca a sfruttarla per rubare dati.