L'iPhone 5 è già preda degli hacker

CanSecWest è la conferenza sulla sicurezza più nota anche se presto potrebbe essere scavalcata dalla EUSecWest Mobile Pwn2Own, durante la quale ad Amsterdam lo scorso weekend sono stati hackerati i due smartphone più in voga del momento: Samsung Galaxy S III e iPhone 4S. L’hack dell’iPhone è stato realizzato da due ricercatori olandesi che hanno lavorato al device per tre settimane. “Volevamo vedere quanto tempo ci sarebbe voluto per attaccare un iPhone da zero” – hanno dichiarato gli organizzatori della gara. Un contest che non è servito solo, come spesso accade tra gli hacker, a far vedere chi è il più bravo. Al primo posto, un team composto da ragazzi del Regno Unito e del Sud Africa, sono andati 30.000 dollari per l’hack di un Samsung Galaxy S III.

In entrambi i casi ha sorpreso la relativa velocità e facilità nel violare i due smartphone tant’è che cade sempre di più l’idea di una certa invincibilità dei dispositivi Apple. Nel caso dell’iPhone gli hacker olandesi sono riusciti ad accedere a tutta la rubrica, foto e video conservati in memoria e alla cronologia di navigazione dell’iPhone; ma non a email e SMS.

La preoccupazione maggiore riguarda il fatto che la falla utilizzata per scardinare le barriere dell’iPhone è presente anche su iOS 6 e quindi sul nuovo modello di iPhone 5. La vulnerabilità in questione sfrutta un bug del WebKit grazie al quale è possibile accedere al terminale senza che il possessore se ne accorga. La facilità risiede nello strumento tramite il quale si hackera il dispositivo: basta un sito web costruito ad-hoc e indirizzarvi l’utente. A questo punto il browser Safari va in palla e regala le informazioni personali all’hacker.

Anche se il team afferma che la vulnerabilità sia difficile da sfruttare, il dubbio sulle reali possibilità di violazione persiste. Se si pensa che già 5 milioni di persone hanno acquistato l’iPhone 5 e che lo smartphone è a rischio hacking per il bug WebKit, i male intenzionati potrebbero avere più di un motivo per cercare di violare i dispositivi e rubarne credenziali e dati sensibili.

Stesso discorso per quanto riguarda Android. Dalla nascita, solo qualche anno fa, il sistema operativo mobile di Google ha fatto passi da gigante anche se è messo sotto continua pressione da hacker ed attacchi malware. Non è dunque una sorpresa che il capostipite degli smartphone Android, il Samsung Galaxy S III, sia stato violato, questa volta dal team MWR Infosecurity.

La notizia semmai è un’altra, e cioè che l’hacking ha sfruttato una falla nell’implementazione di Samsung della nuova tecnologia NFC (Near Field Communications). “Abbiamo utilizzato due exploit (falle) per installare una versione personalizzata di Mercury, il nostro framework di valutazione per Android – ha spiegato il team – Potremmo utilizzarlo per esportare i dati dell’utente dal dispositivo, oppure ascoltare le conversazioni a distanza, oltre che a copiare SMS e dati personali di contatto. In poche parole, lo smartphone diventa nostro”.

E come per l’iPhone, l’hacking su Android può essere utilizzato per far scaricare contenuto allo smartphone senza richiesta dell’utente. “In questo modo si può essere indirizzati verso altri tipi di attacchi, come siti maligni oppure allegati di posta elettronica” – spiegano da MWR. Le competizioni della Pwn2Own sia alla conferenza EUSecWest che CanSecWest vogliono mostrare proprio questo: nessun dispositivo mobile è completamente al sicuro. Per questo gli utenti devono far attenzione a qualsiasi applicazione, sito web o servizio online scelgono di installare, munendosi sempre di un buon software anti-virus gratis o a pagamento.

Seguimi su Twitter: @Connessioni