Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Apple ha annunciato un aumento dei compensi per il suo programma di bug bounty, portando il massimale a 2 milioni di dollari per chi rivela nuovi attacchi zero-click remoti su iPhone, cioè attacchi a distanza che non richiedono alcuna interazione da parte degli utenti. Con l’introduzione di bonus aggiuntivi per scoperte in modalità Lockdown Mode o in versioni beta del software, il premio totale può arrivare fino a 5 milioni di dollari. L’aumento massiccio dei compensi, che in alcune categorie quadruplicano rispetto ai livelli precedenti, riflette la crescente complessità nel trovare vulnerabilità sui dispositivi Apple. “Le protezioni che mantengono al sicuro i nostri utenti rendono anche incredibilmente difficile il lavoro dei ricercatori”, spiega Ivan Krstić, Head of Security Engineering and Architecture di Apple, in un’intervista con Italian Tech. “Con questi nuovi payout vogliamo continuare a incentivarli a fare ricerca sulla nostra piattaforma”.
Dall’introduzione del programma, Apple ha pagato oltre 35 milioni di dollari a più di 800 ricercatori di sicurezza, con diversi premi individuali che hanno raggiunto i 500.000 dollari.I nuovi massimali rappresentano dunque un salto significativo. Oltre ai due milioni di dollari per chi scopre e rivela un attacco zero-click, Apple prevede premi fino a un milione di dollari per gli attacchi one-click (che richiedono un’interazione dell’utente) e di prossimità wireless. Aumentano fino a 500.000 dollari anche i bounty per i ricercatori che dimostrino un metodo per accedere fisicamente a un dispositivo bloccato con pin e per la violazione del sandboxing delle app.
Una delle novità che rende più difficile l’exploit dell’iPhone (e in parte giustifica l’aumento dei massimali) è arrivata da poco sui nuovi iPhone 17 e 17 Pro, dotati dei chip A19 e A19 Pro. I due componenti sono infatti i primi a introdurre un sistema chiamato Memory Integrity Enforcement (MIE), che rende quasi impossibili e costosissimi da sviluppare gli attacchi spyware “mercenari” grazie a un controllo capillare in tempo reale dei bug della memoria interna dei dispositivi. È una protezione non dai normali attacchi malware di massa (che finora non hanno mai davvero colpito la piattaforma iOS), ma da quelli realizzati ad-hoc contro persone di alto profilo, come giornalisti, attivisti, politici.
"Lo spyware mercenario è storicamente associato ad attacchi ’di stato’ e utilizza catene di exploit che costano milioni di dollari per colpire un numero molto ridotto di individui e dei loro dispositivi”, spiegano i tecnici Apple in un documento sul nuovo sistema. “Sebbene la stragrande maggioranza degli utenti non sarà mai presa di mira in questo modo, queste catene di exploit rappresentano alcune delle capacità offensive più costose, complesse e avanzate disponibili in un determinato momento e meritano quindi un’attenzione particolare. Le catene di spyware mercenario conosciute, usate contro iOS, hanno un denominatore comune con quelle che prendono di mira Windows e Android: sfruttano vulnerabilità di sicurezza della memoria, che sono intercambiabili, potenti e diffuse in tutto il settore”.
Cinque anni di sviluppo
Il Memory Integrity Enforcement è la culminazione di un lavoro interno che ha ripensato la sicurezza di tutta la piattaforma hardware e software dell’iPhone. Lo sviluppo originale del sistema parte da una collaborazione con ARM sul protocollo MTE (Memory Tagging Extension), un sistema di “tagging” della memoria che monitora e rileva lo sfruttamento di errori di overflow o di allocazione che i produttori di spyware possono sfruttare per violare i dispositivi delle vittime.
"Il MIE è uno sforzo ingegneristico di cinque anni che ha coinvolto tutte le divisioni Apple, dall’hardware al software passando per i framework, il kernel, i software di basso livello. Il nostro vantaggio nell’integrazione tra software e hardware ci ha permesso di ottenere questo risultato”, spiega ancora Krstić. Sebbene la tecnologia sia destinata a proteggere una ridottissima minoranza di utenti Apple potenzialmente esposti agli attacchi più sofisticati, è comunque un investimento giustificato nell’ambito di una strategia di sicurezza estesa e completa, a beneficio di tutti gli utenti.Nel 2022 Apple e Arm hanno pubblicato le specifiche in una versione avanzata del protocollo, chiamata EMTE (Enhanced MTE). Il MIE dei nuovi A19 e A19 Pro nasce da quell’esperienza ma va oltre: integra l’EMTE, che “tagga” la memoria in modo tale che possa essere “letta” solo dalle applicazioni e dai processi autorizzati, e lo unisce a un sistema di allocatori di memoria sicura.
Al netto dei tecnicismi, il risultato è che ora spyware di alto profilo come Spectre V1, che sfruttano i bug di memoria non funzioneranno più. Realizzare nuovi strumenti che “buchino” questo layer di sicurezza non è formalmente impossibile, ma i costi e le risorse necessarie per metterli a punto saranno talmente alti da renderli economicamente insostenibili anche per organizzazioni spionistiche ben finanziate.
Una delle novità più importanti rispetto a sistemi analoghi che già esistono per Windows e per i chip di Arm è il funzionamento sincrono: il costo in termini di uso della CPU è talmente basso che il MIE può girare costantemente. I tentativi di sfruttamento dei bug di memoria vengono così individuati e bloccati in tempo reale e non in fase di debug, chiudendo qualsiasi potenziale finestra temporale che uno spyware può comunque sfruttare per portare a termine un attacco.
Protezione per tutti gli sviluppatori
L’altro aspetto fondamentale, che rende il MIE un importantissimo aggiornamento di sicurezza per l’ecosistema iPhone, è la possibilità di implementazione per gli sviluppatori di terze parti. App di social media e di comunicazione sicura come Signal potranno dotarsi del medesimo livello di sicurezza semplicemente utilizzando le impostazioni di Enhanced Security disponibili su XCode, la piattaforma di sviluppo software per iPhone e Mac.
Il valore dell’aggiornamento è stato riconosciuto anche dagli sviluppatori di GrapheneOS, un sistema operativo sicuro derivato da Android che in parte utilizza già un sistema basato su MTE per la protezione contro gli spyware. Gli sviluppatori tuttavia hanno criticato il modo in cui Apple ha comunicato la novità, sostenendo che vi sia un tentativo di minimizzare i contributi di altri ricercatori allo sviluppo di soluzioni allo sfruttamento dei bug di memoria.
Per quanto l’opinione sia rilevante nel settore della security, c’è una differenza fondamentale da tenere di conto: GrapheneOS è utilizzato da poche migliaia di persone con capacità tecniche di alto livello. L’ecosistema iPhone/iOS è forte invece di centinaia di milioni di dispositivi attivi, usati anche da possibili vittime di cyberspionaggio che potrebbero non avere le capacità tecniche necessarie per proteggersi adeguatamente.
iPhone 17 in regalo
Parallelamente all’aumento dei bounty, Apple ha annunciato che donerà mille iPhone 17, dotati del nuovo sistema di protezione Memory Integrity Enforcement, a organizzazioni della società civile che lavorano con figure ad alto rischio di cyberspionaggio.
Se infatti alcune novità come gli allocatori di memoria sicuri operano a livello software e possono dunque arrivare anche sugli altri dispositivi compatibili con iOS 26, il MIE richiede invece i chip di ultima generazione perché prevede una componente hardware preponderante.Apple al momento non ha divulgato quali associazioni riceveranno la donazione.
"Giornalisti, attivisti, diplomatici, politici e membri della società civile sono tra coloro che subiscono maggiormente gli attacchi basati su spyware mercenario. Sono operazioni solitamente associate ad attori statali e realizzate da attaccanti disposti a spendere risorse eccezionali per colpire un numero molto piccolo di persone”, conclude Krstić. “L’idea dietro alla donazione degli iPhone è quindi di fornire nel tempo più breve possibile le protezioni che richiedono il nuovo hardware a chi ne ha più bisogno”.

ANDREA NEPORI