Caricare l’iPhone tramite computer può metterne a rischio la sicurezza

mac usb caricare l'iphone

L’allarme arriva da Kaspersky Lab: i ricercatori dell’azienda hanno infatti scoperto che caricare l'iPhone tramite una connessione USB a un computer è un'operazione che può consentire di compromettere il dispositivo mentre viene caricato.

Che si tratti di un telefono iOS o Android, il comportamento è il medesimo: quando sono connessi a un PC o a un Mac per caricarsi gli smartphone svelano moltissimi dati al computer durante l’handshake (il processo di presentazione tra il dispositivo stesso e il PC/Mac a cui è connesso).  Tra questi dati ci sono il nome del device, il produttore, la tipologia, il numero di serie, le informazioni sul firmware e sul sistema operativo, il file system/file list e l’ID del chip elettronico. La quantità di dati inviati durante il processo di handshake cambia a seconda del dispositivo e del computer, ma ogni smartphone trasferisce lo stesso set base di informazioni.

Caricare l'iPhone e mettere a rischio l'identità

Forse può sembrare una procedura di per sé non particolarmente rilevante come minaccia alla sicurezza. Ma Kasperky Lab fa notare che oggi, dato che non ci si separa quasi mai dal proprio smartphone, il dispositivo può servire da identificatore unico per chiunque sia interessato a raccogliere queste informazioni per un utilizzo futuro.

Sebbene non siano state pubblicate informazioni su incidenti effettivamente avvenuti che coinvolgono falsi punti di ricarica, il furto di dati da dispositivi mobile connessi a un computer è stato già visto in passato. Questa tecnica è stata per esempio utilizzata nel 2013 all’interno della campagna di cyber spionaggio Red October. Inoltre, anche il gruppo Hacking Team ha usato una connessione a un computer per caricare un malware su un dispositivo mobile.

Entrambi questi gruppi criminali hanno trovato un modo per sfruttare lo scambio di informazioni iniziale apparentemente sicuro tra lo smartphone e il PC a cui viene connesso. Controllando le informazioni di identificazione ricevute dal dispositivo collegato, gli hacker sono riusciti a scoprire quale modello di dispositivo utilizzasse la vittima e ad avviare l’attacco attraverso un exploit scelto appositamente. Non sarebbe stato così semplice se lo smartphone non avesse scambiato automaticamente i dati con il PC dopo essere stato connesso alla porta USB.

Non solo, usando un comune computer e un cavo micro USB standard, armati di un set di comandi speciali (i cosiddetti comandi AT), gli esperti di Kaspersky Lab hanno mostrato che si può eseguire il re-flash dello smartphone arrivando alla totale compromissione del dispositivo, anche senza l’utilizzo di alcun malware.

 “Se siete utenti abituali potete venire tracciati attraverso gli ID del vostro dispositivo; il vostro smartphone potrebbe venire invisibilmente riempito di qualsiasi cosa, dagli adware ai ransomware; e se siete decision-maker di una grande azienda, potreste facilmente diventare l’obiettivo di hacker professionisti” è il commento di Alexey Komarov, ricercatore di Kaspersky Lab.

Per proteggersi dal rischio di un possibile attacco attraverso punti di ricarica sconosciuti e computer non affidabili, Kaspersky Lab suggerisce di:

  • Usare solo punti di ricarica USB e computer affidabili per caricare il proprio dispositivo;
  • Proteggere gli smartphone con una password o con un altro metodo come il riconoscimento dell’impronta digitale e non sbloccarlo durante la carica;
  • Usare tecnologie di criptaggio e archivi sicuri (aree protette sui dispositivi mobile usate per isolare le informazioni sensibili) per proteggere i dati;
  • Proteggere sia il dispositivo mobile, sia il PC/Mac dai malware con l’aiuto di una soluzione di sicurezza affidabile. Questo permetterà di rilevare i malware anche quando viene usata una vulnerabilità del “caricamento”.

Ovviamente, il buon senso deve giocare un ruolo importante: se si ricarica sempre lo smartphone con il proprio computer il rischio che venga compromesso è piuttosto basso. Non lo è invece se si accede con assiduità a ogni possibile punto di ricarica disponibile perché si è sempre con la batteria al limite. In questo caso, meglio puntare sull’acquisto di un caricatore, che a un prezzo accessibile consente di prolungare l’autonomia del dispositivo da qualche ora a un’intera giornata.

Ulteriori informazioni sugli eventuali problemi si sicurezza collegati alla ricarica tramite computer sono disponibili all’indirizzo Securelist.com.

LASCIA UN COMMENTO