Esiste una funzione di sicurezza nell’iPhone che la maggior parte degli utenti non conosce e che potrebbe fare la differenza tra la privacy assoluta e la violazione totale dei propri dati personali. Si chiama modalità di isolamento, o lockdown mode, e Apple l’ha lanciata quasi in sordina lo scorso anno. Ma oggi, grazie a un rapporto di Citizen Lab, sappiamo che non si tratta di una semplice trovata pubblicitaria: questa funzione ha davvero bloccato un attacco informatico nel mondo reale. Il documento di Citizen Lab racconta di tre attacchi zero-day diretti contro iOS 15 e iOS 16, che hanno preso di mira alcuni operatori dei diritti umani messicani. Zero-day significa che gli attacchi sfruttavano vulnerabilità sconosciute, per le quali non esisteva ancora una patch di sicurezza. In altre parole, si trattava di armi informatiche di ultima generazione. E uno di questi attacchi, secondo i ricercatori, è stato fermato proprio dalla modalità di isolamento.
È il primo caso documentato in cui questa tecnologia ha protetto concretamente qualcuno da un cyberattacco mirato e sofisticato. Gli iPhone colpiti hanno mostrato una notifica che avvertiva l’utente: la modalità di isolamento stava impedendo a qualcuno di accedere alla Home dello smartphone. Un muro digitale si è frapposto tra l’attaccante e i dati sensibili della vittima. Bill Marczak, ricercatore senior presso Citizen Lab, ha dichiarato a TechCrunch che il fatto che la modalità di isolamento sia riuscita a contrastare e persino a notificare gli obiettivi di un attacco zero-click nel mondo reale dimostra che si tratta di una contromisura potente e rappresenta un motivo di grande ottimismo. Zero-click significa che l’attacco non richiedeva alcuna interazione da parte del bersaglio: nessun link da cliccare, nessun allegato da aprire. Il malware si installava automaticamente, sfruttando falle del sistema operativo.
Lo spyware in questione è Pegasus, sviluppato dall’azienda israeliana NSO Group. Un nome che negli ultimi anni è diventato sinonimo di sorveglianza invasiva e abusi tecnologici. Pegasus permette ai suoi operatori di accedere praticamente a tutto ciò che si trova su un telefono: messaggi, foto, email, cronologia di navigazione, posizione in tempo reale. Può attivare microfono e fotocamera a insaputa dell’utente, trasformando lo smartphone in un dispositivo di sorveglianza permanente. I clienti di NSO Group sono governi e agenzie di intelligence, che teoricamente dovrebbero utilizzare Pegasus per combattere il crimine organizzato e il terrorismo. Ma le inchieste giornalistiche degli ultimi anni hanno rivelato un uso ben diverso: giornalisti, attivisti, avvocati, politici dell’opposizione sono finiti nel mirino di questo spyware. In Messico, dove si è verificato l’attacco bloccato dalla modalità di isolamento, Pegasus è stato utilizzato ripetutamente contro difensori dei diritti umani e reporter che investigavano su corruzione e cartelli della droga.
La modalità di isolamento di Apple è stata progettata proprio per questi scenari estremi. Quando è attiva, l’iPhone opera in una modalità ristretta che riduce drasticamente la superficie d’attacco. Alcune funzioni vengono disabilitate o limitate: gli allegati nei messaggi non vengono visualizzati automaticamente, le anteprime dei link sono disabilitate, le connessioni in entrata come FaceTime vengono bloccate a meno che l’utente non abbia già contattato quella persona. I siti web complessi potrebbero non caricarsi correttamente perché vengono bloccati alcuni elementi potenzialmente pericolosi come il JavaScript just-in-time. Non è un’esperienza d’uso ideale. Apple stessa ammette che l’iPhone non funziona come di consueto quando la modalità di isolamento è attiva. Vengono imposti stretti limiti ad alcune app e funzioni, e alcune caratteristiche potrebbero non essere disponibili. Per questo motivo, l’azienda di Cupertino consiglia di attivarla solo se si ritiene di essere il bersaglio di un attacco informatico avanzato, precisando che la maggior parte delle persone non subisce mai un attacco del genere.
Ma per chi lavora in contesti ad alto rischio, giornalisti che coprono zone di conflitto, attivisti che sfidano regimi autoritari, avvocati che difendono casi sensibili, questa funzione può rappresentare una linea di difesa cruciale. Il fatto che abbia funzionato contro Pegasus, considerato uno degli spyware più sofisticati disponibili sul mercato, è significativo. Dimostra che è possibile costruire difese efficaci anche contro minacce di livello governativo. Attivare la modalità di isolamento è semplice. Bisogna aprire le Impostazioni dell’iPhone, selezionare la voce Privacy e sicurezza, toccare Modalità di isolamento e poi selezionare l’opzione Attiva la modalità di isolamento. Dopo aver confermato, l’iPhone si riavvierà per applicare le modifiche. Da quel momento, il dispositivo opererà in modalità protetta.
Naturalmente, gli sviluppatori di spyware non restano fermi. Il rapporto di Citizen Lab suggerisce che NSO Group potrebbe aver successivamente trovato un modo per aggirare almeno la notifica della modalità di isolamento, forse attraverso il rilevamento delle impronte digitali di questa funzione. È la classica corsa agli armamenti digitali: chi difende migliora le protezioni, chi attacca trova nuovi modi per aggirarle. Ma intanto, almeno in un caso documentato, la tecnologia di Apple ha funzionato. Ha protetto qualcuno che ne aveva davvero bisogno. In un panorama dove gli spyware governativi sembrano inarrestabili e le violazioni della privacy sono all’ordine del giorno, questo rappresenta un segnale importante. La tecnologia può essere utilizzata per sorvegliare, ma può anche essere utilizzata per proteggere. E a volte, quando è progettata bene, la protezione vince.
