Il ricercatore di sicurezza ha individuato una vulnerabilità all’interno di Toolbox, un sistema utilizzato da colosso di Cupertino per mettere in standby gli ordini prima della loro elaborazione (ma che possono essere ancora modificati).
Un cybersecurity specialist è stato arrestato per aver frodato Apple. Secondo quanto scrive 404 Media, grazie al supporto di un complice, Noah Roskin-Frazee sarebbe riuscito a rubare oltre 3 milioni di dollari di prodotti – tra cui circa 2,5 milioni di dollari di carte regalo – facendo leva su una vulnerabilità del sistema interno.
Una premessa è d’obbligo: gli atti del tribunale che riguardano la questione non parlano in modo esplicito di Apple; tuttavia i documenti riportano che nel 2019 Frazee (insieme al suo presunto complice, Keith Latteri) avrebbe usato uno strumento per reimpostare la password ed ottenere l’accesso al profilo di un dipendente di un’azienda terza che, a quanto sembra, gestiva l’assistenza clienti per la compagnia di Cupertino.
Sfruttata la vulnerabilità di Toolbox
Il ricercatore sarebbe dunque riuscito ad accedere prima ai server VPN dell’azienda in questione e, successivamente, ai sistemi di Apple – che nel luglio 2022 ha lanciato un’analisi critica sulla modalità Lockdown promettendo più cybersicurezza sugli iPhone –, in modo tale da poter effettuare una serie di ordini fraudolenti, sotto falso nome.
Tutto ciò grazie alla sua abilità nello sfruttare le vulnerabilità di Toolbox, un sistema che la compagnia usa per mettere in standby gli ordini prima che vengano elaborati; in quel frangente, però, possono essere ancora modificati.
Di fatto, l’uomo è stato in grado di intervenire sul sistema per azzerarne il prezzo di vendita o per aggiungere, in modo gratuito, prodotti agli ordini già esistenti. Impossessandosi anche di carte regalo dell’azienda californiana fondata da Steve Jobs, Steve Wozniak e Ronald Wayne. Senza spendere un dollaro. Non completamente appagato, il ricercatore avrebbe anche usato il sistema per prolungare un contratto AppleCare – il marchio utilizzato da Apple per le sue polizze assicurative – per lui e la sua famiglia.
Cyber attacchi via Bluetooth
Parlando a più ampio raggio, prosegue la lotta di Apple contro i cyber criminali. Come riporta Forbes, nel settembre 2023 alcuni clienti riscontrarono che sui loro iPhone era giunta una notifica pop-up che chiedeva di connettersi a una Apple Tv nelle vicinanze, ricorrendo alle credenziali del proprio ID. Un cyber attacco via Bluetooth – poi rientrato – che sembrava in grado di colpire i dispositivi anche se il Bluetooth risultava inattivo.
Da un punto di vista tecnico, i criminali informatici avevano costruito un dispositivo di scarto usando un Raspberry Pi (un piccolo computer a scheda singola), un paio di antenne e un adattatore Bluetooth. Ciò aveva permesso di “convincere” tutti gli iPhone nelle vicinanze che ci si poteva collegare ad una Apple TV (ed inviare i pacchetti pubblicitari).