Anche se gli “attacchi zero-day” sono già abbastanza dannosi (sono chiamati così perché gli sviluppatori hanno avuto zero giorni per affrontare la vulnerabilità prima che esca allo scoperto), gli attacchi zero-click sono preoccupanti in un modo diverso.
Definiti attacchi zero-click
Molti attacchi informatici comuni come il phishing richiedono all’utente di intraprendere un qualche tipo di azione. In questi schemi l’apertura di un’e-mail, il download di un allegato o il clic su un collegamento consente l’accesso di software dannoso al dispositivo. Ma gli attacchi zero-click richiedono, beh, nessuna interazione da parte dell’utente per funzionare.
Questi attacchi non richiedono l’utilizzo dell'”ingegneria sociale”, le tattiche psicologiche utilizzate dai malintenzionati per indurti a fare clic sul loro malware. Invece, si limitano a ballare direttamente nella tua macchina. Ciò rende i cyberattaccanti molto più difficili da rintracciare e, se falliscono, possono continuare a provare finché non lo ottengono, perché non sai di essere attaccato.
Le vulnerabilità zero click sono molto apprezzate fino al livello di stato-nazione. Aziende come Zerodium che comprano e vendono vulnerabilità sul mercato nero stanno offrendo milioni a chiunque riesca a trovarle.
Qualsiasi sistema che analizza i dati ricevuti per determinare se tali dati possono essere considerati attendibili è vulnerabile a un attacco zero-click. Questo è ciò che rende le app di posta elettronica e di messaggistica obiettivi così attraenti. Inoltre, la crittografia end-to-end presente in app come iMessage di Apple rende difficile sapere se viene inviato un attacco zero-click perché il contenuto del pacchetto di dati non può essere visto da nessuno tranne che dal mittente e dal destinatario.
Inoltre, questi attacchi spesso non lasciano molte tracce. Un attacco e-mail a zero clic, ad esempio, potrebbe copiare l’intero contenuto della tua casella di posta elettronica prima di eliminarsi. E più l’app è complessa, più spazio c’è per gli exploit zero-click.
IMPARENTATO: Cosa dovresti fare se ricevi un’e-mail di phishing?
Attacchi Zero-Click In The Wild
A settembre, The Citizen Lab ha scoperto un exploit zero-click che permetteva agli aggressori di installare il malware Pegasus sul telefono di un bersaglio utilizzando un PDF progettato per eseguire automaticamente il codice. Il malware trasforma efficacemente lo smartphone di chiunque ne sia stato infettato in un dispositivo di ascolto. Da allora Apple ha sviluppato una patch per la vulnerabilità.
Ad aprile, la società di sicurezza informatica ZecOps ha pubblicato un articolo su diversi attacchi zero-click trovati nell’app Mail di Apple. Gli aggressori informatici hanno inviato e-mail appositamente predisposte agli utenti di posta che hanno consentito loro di accedere al dispositivo senza alcuna azione da parte dell’utente. E mentre il rapporto ZecOps afferma che non credono che questi particolari rischi per la sicurezza rappresentino una minaccia per gli utenti Apple, exploit come questo potrebbero essere utilizzati per creare una catena di vulnerabilità che alla fine consentono a un hacker di prendere il controllo.
Nel 2019, un exploit in WhatsApp è stato utilizzato dagli aggressori per installare spyware sui telefoni delle persone semplicemente chiamandole. Da allora Facebook ha citato in giudizio il fornitore di spyware ritenuto responsabile, sostenendo che stava usando quello spyware per prendere di mira dissidenti politici e attivisti.
Come proteggersi
Sfortunatamente, poiché questi attacchi sono difficili da rilevare e non richiedono alcuna azione da parte dell’utente per essere eseguiti, è difficile proteggersi. Ma una buona igiene digitale può comunque renderti meno un bersaglio.
Aggiorna spesso i tuoi dispositivi e le tue app, incluso il browser che utilizzi. Questi aggiornamenti spesso contengono patch per exploit che i malintenzionati possono usare contro di te se non li installi. Molte vittime degli attacchi ransomware WannaCry, ad esempio, avrebbero potuto evitarli con un semplice aggiornamento. Abbiamo guide per aggiornare le app per iPhone e iPad, aggiornare il tuo Mac e le sue app installate e mantenere aggiornato il tuo dispositivo Android.
Procurati un buon programma antispyware e antimalware e usali regolarmente. Usa una VPN in luoghi pubblici, se puoi, e non inserire informazioni sensibili come i dati bancari su una connessione pubblica non affidabile.
Gli sviluppatori di app possono aiutare da parte loro testando rigorosamente i loro prodotti per gli exploit prima di rilasciarli al pubblico. Coinvolgere esperti professionisti di sicurezza informatica e offrire premi per le correzioni di bug può fare molto per rendere le cose più sicure.
Quindi dovresti perdere il sonno per questo? Probabilmente no. Gli attacchi zero-click sono usati principalmente contro spionaggio di alto profilo e obiettivi finanziari. Finché prendi tutte le misure possibili per proteggerti, dovresti fare bene.
IMPARENTATO: Sicurezza informatica di base: come proteggersi da virus, hacker e ladri
