Falla di iTunes sfruttata per la cyber warfare

Un’azienda britannica, Gamma International, ha venduto ad alcuni Governi un software per la guerra elettronica che sfruttava una vulnerabilità di iTunes. Lo spyware, denominato FinFisher, è stato sicuramente utilizzato dalle agenzie del Regno Unito e dalla polizia segreta egiziana.

FinFisher ha permesso di prendere il controllo a distanza dei computer colpiti e di catturare dati e comunicazioni criptate. Lo spyware sfruttava una richiesta HTTP in chiaro effettuata da iTunes quando Apple Software Updater era inattivo. Il browser veniva redirezionato verso una pagina web creata ad hoc che informava l’utente dell’assenza di Flash sul computer; in realtà, installava un sofisticato spyware che inviava informazioni sulle attività dell’utente direttamente ai servizi segreti stranieri.

La versione 10.5.1 di iTunes, rilasciata lo scorso 14 novembre, ha risolto la vulnerabilità. A questo punto però la storia si tinge di giallo, tanto che qualcuno ha iniziato a parlare di cospirazione. Apple è stata informata del bug nel lontano 2008 da un ricercatore di sicurezza argentino che ha sviluppato anche un tool per dimostrare la sua scoperta, ma la risoluzione è avvenuta soltanto dopo che il tutto è stato sfruttato: a danno archiviato, arriva l’update.

L’azienda di Cupertino non solo non ha risposto, ma ha atteso oltre 1.200 giorni per pubblicare un aggiornamento per il suo software. Questo ritardo è apparso molto strano, in quanto solitamente Apple corregge i bug in circa tre mesi. Apple conosceva il funzionamento di FinFisher oppure ha ritenuto poco importante la vulnerabilità? La falla infatti poteva essere sfruttata solo con la versione Windows di iTunes.