Quando ho scritto per la prima volta di Meltdown e Spectre, immaginavo che il problema sarebbe stato contenuto in poco tempo. Il maggior danno è a carico di Intel, un colosso.
Ebbene ad oggi “il colosso” – dovresti vedere il mio ghigno mentre leggi – non ha ancora sistemato niente. La sua patch è stata rimossa da quasi tutti i sistemi operativi su computer e sostituita da altre. In particolare dalla Retpoline di Google.
La cosa che poi mi stupisce è leggere in giro la parola “virus” al fianco dei nomi Spectre e Meltdown. Perdonami, ma sarò schietto. Chi scrive queste porcherie non merita la tua attenzione. Cerco di essere più chiaro possibile. Spectre e Meltdown sono attacchi che possono essere portati ai processori (i cervelli) di computer, e non solo, a causa di errori di progettazione. Non sono virus, altrimenti i migliori antivirus a pagamento con le loro tecnologie euristiche, avrebbero intercettato o quantomeno ora bloccato quella coppia. Così non è. Anzi, gli antivirus non si accorgono proprio.
Meltdown è dovuto ad un errore di progettazione e Spectre ne è conseguenza. Entrambi possono portare al furto dei dati.
Detto questo, una cosa su cui non ho potuto soffermarmi nei precedenti articoli – per attenzione e tempo – è il mondo mobile e multimedia.
Per comodità diciamo che anche i dispositivi dotati di processori ARM possono essere attaccati, per cui telefoni e dispositivi con iOS e Android.
Ma quindi il tuo telefono è a rischio?
Certo che si. Google con il suo team specializzato – Project Zero – ha già parzialmente mitigato il problema. Apple, dal canto suo, afferma che entrambi gli attacchi possono interagire con iPhones e iPads, anche se ha rilasciato iOS 11.2 per fermare Meltdown.
Per entrambe, gli attacchi sono di difficile attuazione sui dispositivi mobili. Dal mio punto di vista, difficile non implica impossibile. Anzi.
Quali telefoni sono più a rischio attacco Meltdown e Spectre?
Il rischio è lo stesso, anche se i dispositivi più recenti possono considerarsi un pò meno “attaccabili”.
Google ha già rilasciato vari aggiornamenti per mettere in sicurezza i suoi dispositivi Android più recenti: tutti i Pixel, i Nexus 5X e 6P, ed il tablet Pixel C. ChromeCast, Google Home e Wifi – stando alle dichiarazioni di Google – non risentono degli attacchi.
Al 29 gennaio, Apple aveva reso disponibili per il download numerosi aggiornamenti per i suoi sistemi operativi: iOS 11.2.5, macOS High Sierra 10.13.3, watchOS 4.2.2 e tvOS 11.2.5. Tutti contengono mitigazioni per Meltdown e Spectre.
Apple ha reso disponibili piccoli download di sicurezza per lo stesso motivo anche sui sistemi operativi meno recenti, quali macOS Sierra, rilasciato nel 2016, e OS X El Capitan del 2015.
Al momento, se avete installato aggiornamenti usciti tra dicembre 2017 e gennaio 2018, sia su iOS che su Android, dovreste essere al sicuro da Meltdown, e avere qualche difesa contro Spectre.
Il tuo iPad, la tua Apple TV ed il tuo Apple Watch sono a rischio?
Sarò sincero: si, si e ancora si. Apple, con tutti gli ultimi aggiornamenti protegge i tre dispositivi da Meltdown, per niente o non del tutto da Spectre.
In ogni caso, provvedi ad aggiornare immediatamente all’ultima versione del sistema operativo o firmware del tuo dispositivo.
Se possiedo un dispositivo Android ma non di Google?
Un pò tutti i produttori più “seri” stanno intervenendo in merito, rilasciando le cosiddette patch di sicurezza (pezze software che correggono problemi precedentemente rilevati).
Per quel che ho potuto capire:
- Samsung ha sicuramente aggiornato i suoi ultimi prodotti, tra cui Galaxy S8 e Note 8. Inoltre Galaxy S6 e Galaxy S7, mentre i più vecchi S5 ed S4 non riceveranno aggiornamenti.
- Sony ha rilasciato aggiornamenti (o è in procinto di aggiornare) per i seguenti modelli: Xperia XA1, Xperia XA1 Ultra, Xperia L1, Xperia XA1 Plus, Xperia XA2, Xperia XA2 Ultra, Xperia L2, Xperia X Performance, Xperia X, Xperia X Compact, Xperia XZ, Xperia XZ Premium, Xperia XZs, Xperia XZ1 e Xperia XZ1 Compact.
- Asus non rilascia dichiarazioni o post, ma i suoi ultimi prodotti della famiglia Zenfone (tornando indietro per lo meno sino al 3) hanno ricevuto in questi giorni gli aggiornamenti di sicurezza
Riporto di seguito una scheda con i principali aggiornamenti:
I dispositivi che ricevono l’aggiornamento di sicurezza vedranno nelle informazioni di sistema Android Security Patch con data 2018-01-05 (o superiore).
Purtroppo, il mondo Android è anche composto da tanti prodotti economici, scadenti, di marche semi sconosciute. Parecchi di essi difficilmente riceveranno aggiornamenti e resteranno pertanto vulnerabili.
Prodotti multimediali ed IoT
La Raspberry Pi Foundation ha confermato che nessun Raspberry è affetto dalle due vulnerabilità. Nel post sul blog ufficiale viene spiegato che tutti i modelli di Raspberry sono immuni nonostante usino processori ARM (Cortex-A7 e Cortex-A53).
Da quel post e da quanto dichiara ARM, Cortex M3 ed M4 non possono ricevere questi attacchi. Direi con buona certezza che di conseguenza risulta immune anche Arduino.
Per quanto riguarda i prodotti marchiati Amazon, ovvero Kindle, Fire Tablet, Fire TV, Echo ed Alexa, per il momento non ci sono dichiarazioni da parte del produttore. Il colosso dell’ecommerce ha sicuramente e prontamente sistemato il suo servizio di cloud AWS, ma per i prodotti consumer non abbiamo informazione alcuna. Per gli aggiornamenti dei dispositivi ti rimando comunque qui.
Come puoi vedere, ho domandato ad Amazon stessa:
@AmazonIT quando avete in programma di aggiornare i vs dispositivi Kindle e Fire TV contro Meltdown e Spectre? https://t.co/8xAgh9SerV 🙏
— andrea manconi (@andymnc) 6 febbraio 2018
Non appena avrò risposta, aggiornerò l’articolo.
E se ho un telefono vecchio o che comunque non riceve aggiornamenti di sicurezza?
In questo caso un attacco Meltdown può essere lanciato contro il tuo dispositivo anche da remoto. Per quanto riguarda Spectre potrebbe essere lanciato solamente se un hacker avesse il tuo telefono tra le mani (e con diversi altri accorgimenti). Un malintenzionato avrebbe molte più difficoltà a lanciare un attacco di quest’ultimo tipo. Entrambi possono portare un’applicazione generalmente riconosciuta come sicura a recuperare password e dati vari (anche chiavi di cifratura).
In alternativa l’attacco potrebbe essere lanciato su browser (Chrome, Safari, Edge, Opera…).
Ti consiglio quindi di aggiornare sempre e costantemente il tuo browser scegliendo in particolare tra Chrome e Safari che sicuramente ricevono patch di sicurezza ad un ritmo più alto di altri.