Gli iPhone sono considerati tra i dispositivi più sicuri al mondo, ma non sono immuni agli attacchi di spyware. Uno di questi è Reign, uno spyware israeliano che sfrutta una falla di iOS 14 per infettare gli iPhone di persone legate ad attività governative, giornalistiche o di opposizione politica.
In questo articolo vedremo cos’è Reign, come avvengono gli attacchi, cosa accade agli iPhone infetti, chi è stato colpito e come riconoscere e rimuovere lo spyware.
Che cos’è Reign?
Reign è un software spia che sfruttava delle vulnerabilità di iOS per infettare gli iPhone di persone legate ad attività governative, giornalistiche o di opposizione politica. Reign è stato creato da una società israeliana chiamata QuaDream, la quale vende il software malevolo a vari governi interessati a spiare i propri avversari.
Come concetto è molto simile a quello di Pegasus, un altro spyware israeliano che ha fatto scandalo nel 2019 per aver colpito gli iPhone di molti giornalisti e funzionari governativi. Sono stati registrati attacchi di Reing dal 2019 fino al 2021, ma Apple afferma che non ci siano stati attacchi di questo spyware da allora.
Molto probabilmente le vulnerabilità sfruttate sono state risolte con gli aggiornamenti correttivi di iOS pubblicati per impedire l'utilizzo di Pegasus.
Come avvengono gli attacchi?
Reign sfruttava una falla di sicurezza in iOS 14.4 e iOS 14.4.2 (e probabilmente in altre versioni), soprannominata "ENDOFDAYS" da Citizen Lab, un’organizzazione che si occupa di monitorare gli abusi dei diritti umani nel cyberspazio.
La falla consiste nell’invio di un invito a un evento nel calendario iCloud dell’obiettivo. Quando l’obiettivo apriva l’invito, saggiamente posto in date precedenti per non destare troppi sospetti, lo spyware si installava nell’iPhone e iniziava a eseguire diverse operazioni di spionaggio.
Cosa accade agli iPhone infetti?
Reign è uno spyware molto sofisticato e pericoloso, in grado di registrare le chiamate audio e il microfono, scattare foto, generare password iCloud 2FA, navigare tra i file memorizzati nell’iPhone, tracciare la posizione esatta ed estrarre elementi dal dispositivo.
Reign è anche molto difficile da rilevare e da rimuovere, poiché è in grado di cancellare le proprie tracce “autodistruggendosi” in caso di necessità.
Chi è stato colpito?
Secondo Citizen Lab, Reign è stato utilizzato per spiare almeno cinque individui civili in diverse regioni del mondo, tra cui Nord America, Asia centrale, Sud-est asiatico, Europa e Medio Oriente. Tra le vittime ci sono giornalisti e persone contrarie all’attuale regime politico dei Paesi in cui sono stati attaccati.
Come riconoscere Reign e come rimuoverlo?
Reign è uno spyware molto difficile da riconoscere e da rimuovere, poiché non lascia segni evidenti della sua presenza e può cancellarsi autonomamente. Tuttavia, ci sono alcuni indizi che possono far sospettare di essere stati infettati da Reign. Ad esempio, se si ricevono inviti a eventi del calendario iCloud sospetti o non richiesti, se si notano anomalie nel funzionamento dell’iPhone o se si ricevono messaggi di verifica iCloud 2FA senza averli richiesti.
Per rimuovere Reign l’unico modo sicuro è quello di aggiornare il proprio iPhone all’ultima versione disponibile di iOS, poiché Apple ha risolto la falla ENDOFDAYS. Inoltre, si consiglia di cambiare le proprie password iCloud e di attivare l’autenticazione a due fattori per proteggere i propri dati.