Lentamente ma inesorabilmente, WikiLeaks dà seguito alla promessa di pubblicare i file “soffiati” alla CIA da un informatore (ancora) sconosciuto con Dark Matter , la nuova puntata del Datagate 2.0 tutta focalizzata su progetti specificatamente pensati per infettare e compromettere i MacBook e gli iPhone di Apple.
I nuovi documenti rilasciati dall’organizzazione di Julian Assange descrivono una serie di strumenti pensati per garantire un accesso “persistente” ai sistemi Mac e agli smartphone di Cupertino, a partire da un tool chiamato “Cacciavite Sonico” (“Sonic Screwdriver”): nome scelto come evidente omaggio alla serie televisiva britannica Doctor Who. Sonic Screwdriver era progettato per sfruttare una vulnerabilità nell’interfaccia Thunderbolt dei computer Apple, così da permettere a un attaccante con accesso fisico al sistema bersaglio di bypassare la protezione da password impostata nel firmware EFI e poter così installare gli “impianti” CIA sotto forma di backdoor e altre tipologie di codice malevolo.
Una volta forzato l’avvio senza password, gli spioni americani avevano a disposizione ulteriori strumenti di attacco raccolti nel gruppo “DarkSeaSkies”: “DarkMatter” era un driver capace di infettare il suddetto firmware (U)EFI per garantirsi l’avvio a ogni accensione e installare due moduli aggiuntivi, vale a dire “NightSkies” (una backdoor per MacOS) e “SeaPea” (un impianto da kernel per lanciare NightSkies a ogni reboot). Per quanto riguarda gli iPhone, infine, sembra che la CIA avesse la capacità di intercettare gli smartphone prima della messa in vendita e installare un “beacon” da utilizzare per tenere traccia costante dei movimenti del gadget.
Sia per quanto riguarda i Mac che gli iPhone, in ogni caso, i documenti pubblicati da WikiLeaks non raccontano nulla di particolarmente interessante dal punto di vista della sicurezza: le vulnerabilità prese di mira dai tool sono note e disponibili da anni così come le patch correttive, e il rischio sussiste solo per dispositivi obsoleti non aggiornati. Apple stessa ha confermato di aver analizzato la nuova documentazione e non avervi ravvisato nulla che non fosse già noto.
Molto più interessante è invece il rapporto a dir poco problematico tra WikiLeaks e le aziende statunitensi, con la prima disposta a collaborare con le seconde per la correzione delle vulnerabilità (eventualmente) ignote sfruttate dalla CIA ma solo nel rispetto di standard di “disclosure” responsabili. Le corporation sarebbero bloccate da un conflitto di interessi e dalla collaborazione (forzata?) con le autorità statunitensi, accusano da WikiLeaks , mentre Mozilla e le aziende europee sarebbero state molto più veloci a rispondere alle richieste dell’organizzazione e avrebbero quindi ricevuto le informazioni in merito alle falle.
Chi invece non intende collaborare con WikiLeaks è Cisco, che ha utilizzato i documenti fin qui pubblicati per identificare una vulnerabilità nel Cluster Management Protocol (CMP) dei sistemi IOS e IOS XE: il bug riguarda potenzialmente decine (o centinaia) di migliaia di dispositivi di rete in giro per il mondo, e in attesa di una patch il consiglio è disabilitare Telnet in favore di SSH.
Alfonso Maruccia