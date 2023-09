I ricercatori del Citizen Lab e di Google hanno scoperto che le tre vulnerabilità presenti in iOS (già corrette da Apple) sono state sfruttate per spiare un politico egiziano con il famigerato Predator, lo spyware sviluppato e venduto da Intellexa (ex Cytrox). L’attacco è avvenuto tramite l’invio di SMS e messaggi WhatsApp.

Catena di exploit zero-day

I ricercatori del Citizen Lab hanno trovato tracce di Predator nell’iPhone di Ahmed Eltantawy, ex parlamentare egiziano e candidato alle elezioni presidenziali del 2024. Eltantawy è un oppositore politico dell’attuale Presidente Abdel Fattah el-Sisi, quindi è quasi certo che lo spionaggio sia stato ordinato da el-Sisi. L’Egitto è uno dei clienti di Intellexa.

Il Citizen Lab e Google hanno scoperto che gli attacchi sono stati effettuati tra maggio e settembre 2023 sfruttando una catena di exploit, ovvero le tre vulnerabilità zero-day (CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993) presenti in iOS 16.6.1, 17 e precedenti. Lo smartphone è stato infettato quando il politico ha visitato alcuni siti HTTP con Safari, usando la connessione dati di Vodafone Egypt.

I cybercriminali hanno utilizzato la tecnica network injection per effettuare il reindirizzamento verso un sito infetto. Predator è stato quindi installato automaticamente sull’iPhone, senza l’interazione dell’utente (zero-click). Il politico egiziano ha inoltre ricevuto diversi SMS con un link che sembrava provenire da WhatsApp. Cliccando sul link veniva invece installato lo spyware.

Google consiglia di usare Chrome e attivare la funzionalità HTTPS-First Mode. Apple consiglia di installare l’ultima versione di iOS e attivare la funzionalità Lockdown Mode (modalità di isolamento in italiano).