Signal messenger afferma che non ci sono prove che sia reale la falla zero-day, di cui parlano diverse fonti e che consentirebbe l’acquisizione completa dei dispositivi.
L’app di messaggistica ha indagato sulle indiscrezioni, diffuse online durante il fine settimana. Ma “il presunto zero day – non confermato da Signal”, commenta Paolo Dal Checco, informatico forense, “ha fatto notizia perché riguarda un contesto nel quale possono effettivamente talvolta annidarsi vulnerabilità: quello delle preview dei link“.
Ecco cosa c’è in gioco e come mitigare il presunto rischio.
Indice degli argomenti
Signal smentisce l’esistenza della falla zero-day
La vulnerabilità di sicurezza zero-day sarebbe legata alla funzione Generate Link Previews. Ma Signal nega che ci siano prove dell’esistenza del bug.
“Abbiamo anche controllato con persone del governo degli Stati Uniti, dal momento che il rapporto copia-incolla ha indicato l’USG come fonte”, ha postato l’app su X.
Citando fonti governative statunitensi, sabato pomeriggio la notizia del presunto zero-day si è rapidamente diffusa. Sia online che tra la comunità della cyber sicurezza.
Ma Signal smentisce. Inoltre chiede a coloro che dispongono di informazioni nuove e “reali” di contattare il proprio team di sicurezza.
Infatti, secondo Dal Checco, è il contesto ad allarmare. “Il motivo è che tutto ciò che sottende un accesso a risorse esterne“, avverte l’informatico forense, “come l’apertura di file o link, la riproduzione di suoni o video, il passaggio di contatti eccetera può causare problemi“.
“Come per esempio il buffer overflow”, prosegue Dal Checco: “Può permettere la violazione di aree di memoria, talvolta la scalata di privilegi fino ad arrivare a un controllo remoto del dispositivo“.
Come mitigare il presunto rischio
Le fonti dell’USG hanno affermato che la vulnerabilità può essere mitigata disabilitando l’impostazione “Genera anteprime dei link” in Signal.
“Nel caso specifico, però, Signal smentisce rilevando di non avere evidenza di tale vulnerabilità né che sia stata effettivamente utilizzata. Circa la soluzione di disabilitare i Link preview, precisa che si tratta di una precauzione inutile“, evidenzia Dal Checco.
“Il motivo è che l’opzione di disabilitazione delle anteprime dei link vale soltanto per i messaggi inviati. Tra l’altro viene azionata solo prima d’inviare messaggi e non dopo averli inviati”, evidenzia l’esperto di cyber security: “Invece per i messaggi ricevuti le anteprime dei link – se presenti – non possono essere disabilitate e tra l’altro in teoria non dovrebbero neanche essere dannose”.
Purtroppo “questa smentita di Signal non deve farci stare troppo tranquilli”, mette in guardia Dal Checco, “né può garantirci che nelle preview dei link non possa esistere (il rischio, ndr). C’è chi dice che la segnalazione diventata virale circa lo zero day possa essere relativa alla CVE-2023-4863, una vulnerabilità di tipo ‘buffer overflow nella libreria di formattazione delle immagini WebP‘”.
Consigli sempre validi
I bug zero-day di Signal sono molto ricercati dai broker di vulnerabilità. Sono infatti disposti a pagare cifre elevate per le falle che possono portare all’esecuzione di codice remoto sui dispositivi.
Il broker di zero-day Zerodium offre fino a 500 mila dollari per una catena di exploit zero-day di Signal, che porti all’escalation dei privilegi e all’esecuzione di codice remoto.
Ma al di là dell’esistenza o meno della falla, come ci ricorda il mese della cyber security, una postura di sicurezza è sempre l’approccio giusto.
“In ogni caso”, conclude Dal Checco, “i consigli sul disabilitare le funzionalità che non servono, mantenere sempre aggiornata l’applicazione e il sistema operativo, impostare anche su signal 2FA e accesso con riconoscimento biometrico, evitare di cliccare su link sospetti, cifrare eventuali backup sono sempre validi. E sono suggerimenti da seguire, a prescindere da questi sporadici allarmismi“.
