Come sapete Google ha un team chiamato TAG (Threat Analysis Group) che si occupa di tenere al sicuro i sistemi dove opera con i suoi prodotti. Tra questi sistemi c’è anche iOS, visto che l’azienda serve numerose app per il sistema degli iPhone.
Durante un’analisi ha scoperto l’esistenza di uno spyware per iOS fabbricato in Italia. Lo spyware RCS Lab agiva in modo subdolo per spingere l’utente a compiere alcune azioni, con la finalità di installare un malware e spiare il contenuto del dispositivo, come lo scambio di messaggi o il registro delle chiamate.
Come avveniva l’attacco di RCS Lab
Questo genere di attacchi erano commissionati da terzi, come aziende o istituzioni, alla 3-1 Mobile SRL (con developer ID 58UP7GFWAA). Questa attivava l’attacco per il telefono target.
Utilizzando una qualche falla dell’ISP (Internet Service Provider), vale a dire della connettività mobile fornita da un operatore telefonico, la 3-1 Mobile SRL era in grado di disabilitare la connessione dati dell’iPhone target.
Il passaggio successivo era inviare un SMS indicando un’app da scaricare per ri-abilitare la connessione dati. App firmata con un certificato Apple Developer Enterprise Program, e quindi al di fuori del catalogo standard dell’App Store.
Questa altro non era che uno spyware in grado di accedere ai dati della vittima.
RCS Lab è pericoloso?
La pericolosità di RCS Lab è bassa per tre motivi:
- Per funzionare c’è bisogno di indirizzare l’attacco verso un iPhone specifico e quindi non è un attacco generale a tutti gli iPhone.
- C’è bisogno di incontrare un utente sprovveduto che si fida a installare un’app da un link ricevuto via SMS. Cosa che come saprete non bisogna mai fare.
- Utilizza falle ormai risolte. Restano scoperti solo gli iPhone vecchi non aggiornati.
Quali falle sfrutta RCS Lab?
Google ha fornito ad Apple una dettagliata documentazione dove si spiega quali falle sono utilizzate da RCS Lab per funzionare.
Nello specifico utilizza questi exploit:
- CVE-2018-4344 conosciuto come LightSpeed
- CVE-2019-8605 conosciuto come SockPuppet
- CVE-2020-3837 conosciuto come TimeWaste.
- CVE-2020-9907 conosciuto come AveCesare.
- CVE-2021-30883 conosciuto come Clicked2
- CVE-2021-30983 conosciuto come Clicked3
Questi ultimi due furono risolti già nel 2021 e segnalati proprio da Google.
Come difendersi da RCS Lab e tutti gli spyware
Considerando che queste falle sono state risolte con gli ultimi aggiornamenti di iOS, il consiglio per restare al sicuro sono:
- Mai installare app al di fuori dell’App Store o da link ricevuti via SMS
- Aggiornare sempre iOS all’ultima versione del sistema operativo.
So che molte persone tendono a non aggiornare il sistema operativo per noia, dimenticanza o, peggio, perché credono che questo rallenti il dispositivo.
Da iOS 16 Apple consentirà di installare gli aggiornamenti di sicurezza indipendentemente dalla versione del sistema operativo installata in quel momento, potendo contare sulla risoluzioni delle falle anche senza passare a una versione recente di iOS.