Exploit Zero-Click: cos’è e come proteggersi?

Cos’è un exploit Zero-Click?

Per rispondere a questa domanda, è bene prima spiegare cosa è un exploit. Con questo termine ci riferiamo a un programma o una sequenza di comandi scritti specificamente per sfruttare le vulnerabilità presenti in un sistema. Quindi, un exploit Zero-Click è un tipo di attacco informatico che viene eseguito senza che l’utente debba cliccare su un link sospetto o scaricare file infetti. Insomma, in questo caso, dunque, l’ingegneria sociale non c’entra. Un attacco Zero-Click sfrutta, infatti, vulnerabilità nascoste all’interno di software, piattaforme o app legittime per infiltrarsi nel dispositivo in modo silenzioso e invisibile. A renderlo particolarmente insidioso è proprio l’assenza di segnali evidenti o comportamenti anomali: tutto avviene in background, spesso senza che l’utente, anche il più esperto, o l’azienda, anche la più attenta, si accorga di nulla.

Come funziona un attacco Zero-Click?

Per capire come funziona un attacco Zero-Click è importante fare una premessa: quando un'app, più in generale un software, riceve un’informazione — per esempio un comando, un messaggio di testo, un’immagine o un’email — deve “leggerla” e “capirne” la struttura per decidere come mostrarla o gestirla. Questo processo di lettura e interpretazione di un dato grezzo in qualcosa di leggibile per il sistema viene chiamato “parsing”. Tuttavia, se nel codice che gestisce questa importante fase di analisi è presente un bug o un errore non ancora corretto o noto agli sviluppatori - la cosiddetta vulnerabilità “zero-day”- un attaccante può sfruttarla a suo vantaggio inviando un contenuto malevolo che verrà cancellato subito dopo. Il solo fatto che il dispositivo lo riceva può bastare a eseguire automaticamente codice dannoso, senza alcuna azione o consapevolezza da parte dell’utente. In questo modo, l’hacker avrà accesso a ogni dato presente sul dispositivo, dai contatti in rubrica alle email, dai contenuti delle chat alla galleria multimediale. In molti casi, può registrare le conversazioni telefoniche e controllare in remoto il microfono e la videocamera del dispositivo colpito.

Chi sono i principali target degli exploit Zero-Click?

Gli exploit Zero-Click non sono una novità nel panorama degli attacchi informatici, ma è negli ultimi anni — con la diffusione capillare di smartphone e tablet, anche in ambito aziendale — che il loro utilizzo è cresciuto in modo significativo. Non sorprende, quindi, che i dispositivi mobili siano oggi tra i più colpiti da questo genere di attacchi: non solo custodiscono una quantità enorme di dati personali e professionali, ma sono anche costantemente esposti all’installazione di nuove app, spesso da fonti diverse e con livelli di sicurezza variabili. In particolare, piattaforme SMS, client di posta elettronica e app di messaggistica istantanea — tra cui iMessage, WhatsApp e Telegram — si prestano a diventare punti di ingresso privilegiati per gli exploit Zero-Click. Questo perché elaborano automaticamente i contenuti ricevuti da fonti esterne, senza necessitare di alcuna interazione da parte dell’utente, rendendo così possibile l’infiltrazione silenziosa e sofisticata del malware.

Ma di chi sono questi dispositivi? I bersagli non sono mai casuali: spesso si tratta di persone con accesso a informazioni sensibili o strategiche, come giornalisti, attivisti, politici e diplomatici. Anche aziende e realtà industriali possono diventare obiettivi di exploit Zero-Click, soprattutto in settori critici o altamente competitivi, dove il furto di dati (spionaggio industriale) può avere conseguenze rilevanti e di lungo termine.

Tipi di exploit Zero-Click

Gli exploit Zero-Click possono assumere forme diverse, a seconda della vulnerabilità sfruttata e del contesto in cui agiscono. Di seguito, le tipologie più comuni.

Exploit su app e messaggistica

Lo abbiamo detto, le app di messaggistica come iMessage o WhatsApp sono bersagli frequenti negli attacchi Zero-Click, perché analizzano automaticamente i messaggi ricevuti per generare notifiche o anteprime. Nel 2018, proprio un video su WhatsApp inviato all’iPhone di Jeff Bezos, CEO di Amazon, ha permesso al principe saudita Mohammed bin Salman di acquisire informazioni riservate. Nel 2021, FORCEDENTRY si è rivelato uno degli exploit zero-click più avanzati mai scoperti. Sfruttava una vulnerabilità zero-day nella libreria di rendering delle immagini CoreGraphics di Apple, colpendo l'app iMessage. Attribuito al gruppo NSO, sviluppatore dello spyware Pegasus, l’exploit permetteva di compromettere da remoto dispositivi iOS, macOS e watchOS, inclusi i modelli aggiornati, senza alcuna interazione da parte dell’utente.

Exploit nei servizi di sistema e rete

Alcuni exploit zero-click si concentrano su servizi di basso livello del sistema operativo, ovvero componenti che gestiscono funzionalità fondamentali come Bluetooth, Wi-Fi, AirDrop o il parsing di file multimediali. Questi servizi operano spesso in background e analizzano automaticamente dati in arrivo, rendendoli un bersaglio ideale per attacchi silenziosi. Un esempio emblematico è BlueBorne, una serie di vulnerabilità scoperte nel 2017, che interessavano l’implementazione del Bluetooth su Android, iOS, Windows e Linux. BlueBorne permetteva agli aggressori di compromettere un dispositivo semplicemente trovandosi nel suo raggio Bluetooth, senza alcun bisogno di pairing o azioni da parte dell’utente. Questo dimostra quanto anche le funzionalità più quotidiane possano diventare vettori d’attacco, se non adeguatamente protette.

Exploit nei client email e WebView

Anche i client di posta elettronica e i componenti che gestiscono il caricamento di contenuti web all’interno delle applicazioni – come le anteprime dei link o i browser integrati (WebView) – possono rappresentare superfici d’attacco per exploit zero-click.

Ne sono un valido esempio le vulnerabilità zero-day scoperte da ZecOps nel 2020 nell’app Mail di iOS, che permettevano l’esecuzione di codice malevolo tramite email appositamente costruite. I ricercatori hanno scoperto che queste falle risalivano almeno a iOS 6, rilasciato nel 2012, e che venivano sfruttate attivamente fin dal 2018. Ciò significa che, per diversi anni, gli aggressori hanno potuto colpire i dispositivi senza essere individuati. In particolare, su iOS 13, l’attacco poteva avvenire in background, rendendo l’infezione praticamente invisibile.

Come prevenire gli exploit Zero-Click

Per proteggersi dagli exploit Zero-Click, è fondamentale adottare un approccio preventivo e consapevole alla sicurezza digitale. Nel caso specifico di questi attacchi, la prevenzione passa prima di tutto da comportamenti prudenti e da una corretta configurazione dei propri strumenti digitali. Ecco, allora, alcune best practice utili per ridurre il rischio:

• Aggiorna regolarmente il sistema operativo e le app, così da correggere eventuali vulnerabilità note (inclusi bug zero-day già identificati).
• Usa app ufficiali e affidabili, evitando store alternativi o software non verificati.
• Disattiva anteprime automatiche di link, media e messaggi nei client di posta o nelle app di messaggistica, quando possibile.
• Disattiva connessioni non necessarie, come Bluetooth o AirDrop, soprattutto in luoghi pubblici o non protetti.
• Attiva la modalità Lockdown su dispositivi Apple (dove disponibile), che limita o disabilita alcune funzionalità del dispositivo per ridurre la superficie d’attacco.
• Monitora segnali anomali nel comportamento del dispositivo, come rallentamenti, surriscaldamenti o notifiche insolite.
• Utilizza una VPN affidabile, come NordVPN, per proteggere la connessione. Sebbene da sola non sia in grado di bloccare un attacco Zero-Click, può ridurre l’esposizione a condizioni che ne facilitano l’esecuzione, come reti non sicure, indirizzi IP pubblici o contenuti sospetti.
• Attiva funzionalità di sicurezza avanzate e soluzioni anti-malware, come Threat Protection Pro™, per bloccare automaticamente siti malevoli, tracker e file infetti prima che possano compromettere il dispositivo.

Come comportarsi in presenza di un possibile attacco Zero-Click?

La risposta più efficace a un exploit Zero-Click dipende dal tipo di attacco e dalla vulnerabilità sfruttata, ma ci sono alcune azioni generali che possono aiutare a contenere i danni e rafforzare la sicurezza del dispositivo:

• Disconnetti il dispositivo da internet per interrompere eventuali comunicazioni attive dell’attaccante.
• Esegui un backup sicuro dei dati, preferibilmente su un dispositivo o supporto esterno non connesso alla rete.
• Disattiva il Bluetooth.
• Aggiorna il sistema all’ultima versione disponibile, in modo che includa le patch di sicurezza.
• Considera di usare un’app di posta alternativa temporaneamente, se l’attacco è avvenuto tramite client Mail.
• Esegui una scansione completa.
• Cambia le password di account sensibili come azione preventiva o, nel caso di un’azienda, è bene procedere al reset dei sistemi di autenticazione interessati (inclusi MFA, certificati, chiavi API).
• Contatta un esperto di sicurezza IT se si sospetta una compromissione avanzata.