Nel 2025, le persone non possono fare a meno dei propri laptop e smartphone. Ma con questa familiarità è cresciuta anche la cautela verso i pericoli di cliccare su email, sms o messaggi WhatsApp pericolosi. Dietro l’angolo però, una minaccia ancora più grande: i cosiddetti attacchi zero-click.
Un attacco zero-click è un attacco informatico che compromette un dispositivo senza che l’utente debba cliccare o interagire su nulla. Può avvenire semplicemente ricevendo un messaggio, una chiamata o un file. Il malintenzionato sfrutta le vulnerabilità nascoste in app o sistemi per prendere il controllo del dispositivo, senza alcuna azione da parte dell’utente, ignaro dell’attacco.
«Sebbene la consapevolezza su questi problemi sia aumentata di recente, questi attacchi si sono evoluti nel corso di molti anni, diventando più frequenti con il boom degli smartphone», ha dichiarato Nathan House, amministratore delegato di StationX, piattaforma britannica di formazione sulla sicurezza informatica. «La vulnerabilità più grande risiede nel software, più che nel tipo di dispositivo, il che significa che qualsiasi dispositivo ha dei punti deboli sfruttabili e potrebbe essere preso di mira», ha aggiunto.
Aras Nazarovas, ricercatore di sicurezza informatica presso Cybernews, ha spiegato perché gli attacchi zero-click di solito colpiscono i Vip piuttosto che gli utenti comuni. «Trovare exploit zero-click è difficile e costoso, quindi spesso vengono utilizzati per accedere a informazioni di figure chiave, come politici o giornalisti in regimi autoritari», ha affermato. «Sono spesso impiegati in maniera ben precisa. É raro che vengano utilizzati per rubare».
Nel 2024, la Bbc ha riferito che TikTok aveva ammesso che un «numero molto limitato» di account, inclusi quelli della Cnn, era stato compromesso. Sebbene ByteDance, la controllante di TikTok, non abbia confermato la natura dell’attacco, le aziende di cybersicurezza come Kaspersky e Assured Intelligence hanno dichiarato che molto probabilmente la causa era proprio un exploit zero-click. «Trovare bug che consentano tali attacchi e poi scrivere exploit per questi bug richiede un alto livello tecnico», ha spiegato Nazarovas, «Da anni è un mercato da miliardi di dollari, con la vendita di exploit zero-click. Alcuni broker del mercato grigio offrono spesso da 500 mila a 1 milione di dollari per exploit da usare su dispositivi e app popolari». E sebbene in passato gli utenti comuni siano stati colpiti da attacchi zero-click di tipo “drive-by” (attacchi che si verificano dopo l’installazione involontaria di software-virus su un dispositivo, spesso senza che l’utente se ne accorga) questi sono diventati meno frequenti con l’espansione del mercato grigio. Questi sistemi spesso cercano vulnerabilità in software e app, e dato che è costoso scoprire queste “falle”, gli autori sono di solito soggetti statali o organizzazione molto ben finanziate.
L’ESPANSIONE DEL MERCATO DEGLI SPYWARE
Sebbene le recenti innovazioni nel campo dell’Ia abbiano reso più comuni alcuni crimini informatici, come il voice-cloning o il vishing, Nazarovas ha dichiarato che non ci sono ancora prove che abbiano aumentato il rischio di attacchi zero-click. Ma House ha spiegato che l’Ia potrebbe essere usata per «scrivere numerosi exploit zero-click per persone che altrimenti non avrebbero avuto il tempo, l’esperienza o le conoscenze per farlo». Tuttavia, ha aggiunto, l’aumento degli attacchi zero-click negli ultimi anni «deriva principalmente dall’espansione dei mercati di spyware e dalla maggiore disponibilità di exploit sofisticati, piuttosto che da tecniche guidate direttamente dall’Ia».
House ha ricordato che gli attacchi zero-click esistono da oltre un decennio, il più noto dei quali è stato lo scandalo dello spyware Pegasus. Nel 2021, The Guardian e altre 16 testate giornalistiche hanno pubblicato una serie di articoli, sostenendo che i governi di vari Paesi utilizzassero il software Pegasus del gruppo israeliano Nso per sorvegliare almeno 180 giornalisti e diversi altri soggetti in tutto il mondo. Tra i presunti obiettivi di Pegasus c’erano il presidente francese Emmanuel Macron, il leader dell’opposizione indiano Rahul Gandhi e il giornalista del Washington Post Jamal Khashoggi, assassinato a Istanbul il 2 ottobre 2018. In quel periodo, il gruppo Nso, creatore dello spyware, ha dichiarato: «Come già affermato in precedenza, la nostra tecnologia non è stata in alcun modo associata all’omicidio di Jamal Khashoggi».
Il 6 maggio scorso, una giuria californiana ha condannato a pagare Meta, proprietaria di WhatsApp, 167 milioni e 300 mila dollari di danni per violazione della privacy in una causa contro Nso Group. La denuncia di WhatsApp si concentrava sullo spyware Pegasus, che era stato sviluppato «per essere installato da remoto e consentire l’accesso e il controllo remoto di informazioni – incluse chiamate, messaggi e posizione – su dispositivi mobili con sistemi operativi Android, iOS e BlackBerry».
I BERSAGLI “COLLATERALI”
«Sebbene gli utenti comuni possano occasionalmente diventare bersagli “collaterali”, i malintenzionati generalmente riservano questi costosi exploit a individui le cui informazioni sono particolarmente sensibili», ha dichiarato Nazarovas.
Secondo il ricercatore, le aziende offrono ai “cacciatori di bug” ingenti ricompense per incentivarli a trovare questi exploit, anziché venderli a un broker che poi li rivende a sua volta a dei malintenzionati.
House ha sottolineato che difendersi dagli attacchi zero-click è «difficile», ma alcune semplici misure di sicurezza possono aiutare parecchio. «Bisognerebbe mantenere sempre aggiornati i dispositivi e riavviarli regolarmente, e utilizzare sistemi di sicurezza, come la modalità lockdown di Apple, specialmente se si ritiene di essere dei bersagli». Ha però evidenziato che, nonostante le precauzioni, è fondamentale riconoscere che «attacchi sofisticati possono aggirare anche le difese più forti».
Nazarovas ha evidenziato che molti grandi colossi tecnologici, come Apple, Google e Microsoft, raccolgono dati da miliardi di dispositivi e li utilizzano per rilevare exploit zero-click o attacchi simili.
Questi dati sono informazioni raccolte da remoto dagli smartphone e dai computer, che riguardano l’uso delle app e i loro comportamenti, e vengono analizzate per migliorare le prestazioni, risolvere problemi o monitorare alcune attività. «Quando vengono rilevate vulnerabilità che possono essere sfruttate, possono essere corrette immediatamente tramite gli aggiornamenti di sicurezza»,.
