Quando si pensa ai metodi possibili per hackerare un telefono, spesso ci si immagina un link malevolo inviato per messaggio, il download di un'applicazione che nasconde un malware o una mail contenente un allegato non sicuro. Invece non sempre è necessaria un'azione da parte dell'utente, nemmeno nel sicurissimo iPhone. Dove basta in teoria ricevere un messaggio su iMessage per farsi hackerare lo smartphone. Lo ha svelato la ricercatrice Natalie Silvanovich durante la conferenza Black Hat di Las Vegas, incontro di hacker dove la Silvanovich ha mostrato alcuni bug che non necessitano di interazioni da parte degli utenti all'interno del servizio di messaggistica di Apple iMessage.
"Questi bug possono portare all'esecuzione di codice malevolo e possono essere utilizzati per accedere ai dati personali" ha spiegato la ricercatrice. "Quindi lo scenario peggiore è quello in cui queste falle vengono utilizzate per danneggiare gli utenti". Apple ha già risolto 6 di questi bug, ma stando all'esperta ne resterebbero aperti altri. La ricerca della Silvanovich è partita da un bug presente su WhatsApp che consentiva di spiare un telefono semplicemente effettuando una chiamata, anche senza risposta. Da qui la ricercatrice ha iniziato ad indagare su altri servizi, compreso iMessage.
Come funzionano i bug di iMessage
La piattaforma di messaggistica della mela offre ormai una quantità enorme di possibilità, dai messaggi di testo alle Animoji, passando per effetti grafici, messaggi vocali e invio di foto, video, soldi ed elementi derivanti da app. Tutta questa complessità porta con sé un possibile aumento di debolezze strutturali che gli hacker possono sfruttare per penetrare nel sistema e sfruttarne eventuali bug. Una di queste falle individuate dall'esperta consentiva ad un malintenzionato di inviare un messaggio all'iPhone della vittima, ottenendo automaticamente in risposta un ulteriore messaggio contenente alcuni dati dell'utente colpito, come i contenuti degli SMS o le fotografie.
Un'altra falla individuata dalla Silvanovich poteva consentire di inviare un normale messaggio di testo con il quale installare codice malevolo all'interno del dispositivo. Tutto senza nemmeno la necessità da parte della vittima di aprire l'applicazione Messaggi. "I bug individuali sono relativamente facili da risolvere, ma non potrai mai trovare tutte le falle nei software e ogni libreria che utilizzerai diventerà un possibile strumento di attacco" ha spiegato. "È un problema estremamente difficile da risolvere". Secondo la Silvanovich iMessage resta però uno dei sistemi più sicuri, visto che falle di questo tipo caratterizzano la maggior parte dei software. L'unica difesa utile in questi casi è quella di mantenere aggiornati sistemi operativi e applicazioni: Apple ha già risolto tutti i 6 bug della Silvanovich all'interno dell'aggiornamento 12.4 di iOS.
