Boom di dati in uscita dall’iPhone del patron di Amazon dopo la ricezione di un video sospetto. I sospetti degli analisti
Il rapporto dell’indagine forense sulla potenziale violazione dell’iPhone X di Jeff Bezos fa luce sulle modalità d’attacco, rivelando la presenza di un file sospetto sul telefono del fondatore di Amazon, ma nessuna evidenza di un malware in attività.
Come indica il rapporto ottenuto e pubblicato da Motherboard, gli investigatori forensi hanno analizzato il dispositivo di Bezos per 48 ore senza essere in grado di trovare alcun malware ma, in compenso, hanno rinvenuto un file video sospetto ricevuto da Bezos il primo maggio del 2018 che, citando il rapporto, “sembra essere un filmato promozionale in lingua araba sulle telecomunicazioni”.
Il motivo per cui i tecnici hanno definito il video “sospetto” è legato al fatto che, dopo averlo ricevuto, “è iniziata una massiccia e non autorizzata esfiltrazione di dati dal telefono di Bezos, che è continuata e si è intensificata per mesi in seguito”. Insomma, da quel momento il telefono ha iniziato a inviare quantità di dati all’esterno, anche se, specificano gli esperti, “a causa della crittografia end-to-end utilizzata da WhatsApp, è impossibile decrittografare i contenuti del downloader per determinare se conteneva un codice dannoso in aggiunta al video consegnato”.
Tuttavia, una porzione di codice malevolo, delle dimensioni di 12 byte, avrebbe dato il via all’invio di grandi quantità di dati che, nei mesi successivi, sono aumentati sensibilmente rispetto al normale utilizzo da parte di Bezos. “Le analisi forensi mostrano che nei 6 mesi precedenti la ricezione del video su WhatsApp, il telefono di Bezos aveva una media di 430 kilobyte di dati in uscita al giorno, abbastanza tipica per un iPhone”, si legge nel report.
“A poche ore dal video di WhatsApp, l’uscita è salita a 126 megabyte. Il telefono ha mantenuto una media insolitamente alta di 101 megabyte di dati di uscita al giorno per mesi in seguito”, continua il report. Flussi anormali anche perché Bezos non ha attivato iCloud.
I risultati dell’indagine forense, combinati con indagini parallele, hanno portato gli investigatori a “valutare che il telefono di Bezos sia stato compromesso tramite strumenti procurati da Saud al Qahtani”. Saud al Qahtani è vicino al principe saudita Mohammed bin Salman, è un esperto di sicurezza informatica ed è noto per procurarsi strumenti di hacking offensivi per conto della monarchia saudita, che tuttavia ha preso le distanze dal fatto.
Il rapporto forense menziona come spyware di questo livello “Pegasus del gruppo Nso o Galileo di Hacking Team”, ma nessuna prova finora individuata dalle indagini riconduce a queste due aziende di sorveglianza informatica, né a loro specifici prodotti e nessuna delle due è coinvolta formalmente nell’indagine. Siccome un malware specifico non è stato rinvenuto, non è possibile risalire al momento a uno specifico produttore. Eventuali sviluppi delle indagini potrebbero fare nuova luce sul caso. Nel frattempo, a domanda del New York Times, l’israeliana Nso ha negato ogni coinvolgimento nel caso Bezos, mentre l’italiana Hacking Team non ha risposto.
Potrebbe interessarti anche