Hackerare un iPhone è più facile del previsto. Pensate: si può fare anche quando il telefono è spento. Lo conferma uno studio della Technische Universität di Darmstadt in Germania, secondo cui è possibile sfruttare il chip Bluetooth del device che si mantiene sempre minimamente attivo all'interno del telefono insieme ai chip NFC e ultra-wideband.
Il componente, necessario per il corretto funzionamento dell'app Dov'è, continua a essere alimentato in modalità a basso consumo (Low Power Mode) per alcune ore dopo che il telefono è stato spento. Ciò è utile per ritrovare il proprio iPhone in caso di furto/smarrimento, ma d'altra parte potrebbe dare il via libera a un exploit con la modifica del firmware e l'inserimento di codice malevolo per tenere traccia del dispositivo.
Secondo i ricercatori, la Low Power Mode è "una superficie di attacco rilevante che deve essere presa in considerazione da obiettivi di alto valore come i giornalisti, o che può essere utilizzata come arma per creare malware wireless che operano su iPhone spenti".
Queste le parole di Ryan Duff, ricercatore della sicurezza esperto di iOS che in un'intervista a Motherboard ha fornito ulteriori dettagli: "Potrebbe essere possibile sfruttare direttamente il chip Bluetooth e modificare il firmware, ma i ricercatori non l'hanno fatto e al momento non esiste un exploit noto che lo consentirebbe", ha dichiarato.
Insomma, un attacco di questo tipo sarebbe possibile potenzialmente, a patto che le condizioni per l'exploit siano favorevoli.
Il problema principale è che la vulnerabilità interessa le componenti hardware dell'iPhone, dunque non può essere risolta con eventuali aggiornamenti di sistema. "Pertanto – si legge nel paper –, ha un effetto duraturo sul modello di sicurezza iOS in generale".
Per il momento, Apple non ha fornito rassicurazioni circa un suo possibile intervento per "mettere in salvo" gli iPhone da questa potenziale minaccia. Sempre nel paper si legge che gli iPhone in pericolo sarebbero quelli con jailbreak, dunque non dovrebbero esserci problemi per gli utenti ordinari.
