A Black Hat US 2019 i ricercatori di Trend Micro raccontano come hanno trovato dozzine di vulnerabilità in iOS, aiutando Apple a risolverle, mentre i ricercatori di Tencent presentano analoghe vulnerabilità nei chip di Qualcomm usati nei dispositivi Android.

Cos'è Black Hat? È la conferenza di sicurezza informatica per eccellenza, che conta decine di migliaia di partecipanti. Da oltre 20 anni si tiene a Las Vegas, Londra e Singapore ogni anno. È la stessa dove un paio d'anni fa abbiamo presentato la nostra ricerca sui robot industriali e dove l'anno scorso ho presentato i risultati della ricerca sulla sicurezza dei protocolli di rete IoT.

Cos'è una vulnerabilità? È un errore, una falla in un software. È un fenomeno "naturale," presente in qualsiasi prodotto, in questo caso software. Perché è un concetto rilevante? Una vulnerabilità, in opportune condizioni, permette ad un aggressore di far fare al software ciò che vuole. Un po' come se la serratura di casa si potesse aprire con la chiave giusta, ma anche con una graffetta fatta in un certo modo. È quindi fondamentale, oltre a minimizzare la presenza di vulnerabilità a monte—ovvero creando software (e serrature) ingengeristicamente di qualità—continuare la ricerca di vulnerabilità, al fine di permettere ai produttori di correggerle.

Una vulnerabilità importante può valere molto, e a tutti gli effetti è venduta e scambiata in un fitto mercato con diversi intermediari. Perché? Immaginate di essere un'agenzia governativa di intelligence che, per vari motivi, deve poter intercettare SMS, chat e telefonate. Una vulnerabilità su un dispositivo mobile può essere sfruttata per "entrare" o "mettersi in mezzo" e ascoltare. Il rovescio della medaglia è che esiste anche un mercato sommerso, nero, dove le vulnerabilità sono scambiate ed acquistate da persone e organizzazioni a fini criminali, o che violano i diritti civili fondamentali (pensate ai regimi repressivi).

In questo caso si parla del software di dispositivi mobili (Apple e Android), quindi decisamente diffusi e "tra le mani di tutti." Vulnerabilità di questo genere possono valere decine o centinaia di migliaia di Euro.

Come possiamo essere sicuri che il nostro cellulare sia sicuro al 100% e non affetto da vulnerabilità? Non possiamo. È impossibile. Toglietevelo dalla testa. Le vulnerabilità sono parte del processo di ingegnerizzazione e, nonostante gli ingenti investimenti dei produttori, c'è sempre margine di errore (da un lato) e avanzamento tecnologico (dall'altro), che aprono nuove strade per vulnerabilità che fino a poco tempo prima erano difficili da trovare.

Ma se veramente vogliamo un telefono "il più sicuro possibile?". Questa è già una richiesta più ragionevole. È indispensabile scegliere un produttore affidabile, ossia un produttore serio, con una storia solida, che rilasci regolarmente aggiornamenti di sicurezza. È fondamentale quindi non trascurare gli avvisi che ci chiedono di aggiornare il nostro dispositivo, perché non farlo può avere conseguenze anche per chi crede di non avere nulla da temere. Perché se il bersaglio non siamo noi, possiamo trovarci ad essere il mezzo inconsapevole per facilitare l'attacco di un altro bersaglio. Un po' come se ci rubano l'auto e la utilizzano in una rapina, e noi ci dimentichiamo di denunciarne il furto.