WhatsApp, nelle versioni per iOS, Android e Windows Phone, è affetta da una vulnerabilità critica di tipo RCE (Remote Code Execution) che potrebbe consentire ad un attaccante remoto di compromettere i dispositivi delle vittime iniettando il pericoloso spyware Pegasus.
Il problema di sicurezza interessa WhatsApp per Android prima della versione 2.19.134, WhatsApp Business per Android prima della versione 2.19.44, WhatsApp per iOS prima della versione 2.19.51, WhatsApp Business per iOS prima della versione 2.19.51, WhatsApp per Windows Phone prima della versione 2.18.348 e WhatsApp per Tizen prima della versione 2.18.15.
Indice degli argomenti
Pegasus, lo spyware per WhatsApp
Prodotto dalla israeliana NSO Group, lo spyware Pegasus sarebbe ufficialmente destinato solo ad agenzie governative e servizi di intelligence per utilizzi in azioni di antiterrorismo e di ordine pubblico, ma a quanto pare è stato utilizzato in maniera indiscriminata.
Amnesty International, ad esempio, ha già denunciato alcuni tentativi di attacco ai dispositivi mobile dei suoi aderenti ed è la stessa NSO Group, in una sua dichiarazione ufficiale, ad avere ammesso una denuncia simile da parte di un avvocato (di cui non è stato rivelato il nome) che sta assistendo alcuni gruppi di giornalisti e dissidenti messicani e sauditi.
Come avviene l’attacco con lo spyware Pegasus
Per compromettere i dispositivi delle vittime, ai criminal hacker basta una semplice chiamata vocale su WhatsApp e l’attacco va a buon fine anche nel caso in cui la chiamata non riceva una risposta.
La vulnerabilità, identificata come CVE-2019-3568, interessa infatti lo stack VoIP dell’app e può essere sfruttata per generare un classico errore di buffer overflow mediante l’invio di pacchetti SRTCP (Secure Real-time Transport Protocol) appositamente creati e inviati al numero di telefono di destinazione.
Così facendo, gli attaccanti riescono a prendere il controllo completo del dispositivo e sono quindi in grado di accedere alle chat criptate, intercettare le chiamate, accendere il microfono e la fotocamera, accedere a foto, contatti e altre informazioni sul dispositivo come i dati di geolocalizzazione. Anche i registri delle chiamate possono essere modificati per nascondere l’avvenuta compromissione dello smartphone.
Sfruttare questo tipo di vulnerabilità non è banale, per cui il sospetto è che dietro ci siano gruppi criminali sovvenzionati da vari governi con scopi di cyber spionaggio industriale o per curiosare nella vita di personaggi di interesse della vita pubblica.
Il numero di utenti colpiti da questa vulnerabilità rimane al momento sconosciuto, ma secondo l’azienda finora è stato preso di mira solo un piccolo numero di utenti.
Correggiamo la vulnerabilità di WhatsApp
Gli ingegneri di Facebook (proprietaria di WhatsApp) si sono subito messi all’opera appena scoperta la vulnerabilità e già nella giornata di ieri (lunedì 13 maggio) hanno rilasciato la versione patchata dell’applicazione per tutte le piattaforme. Il consiglio è quindi quello di aggiornare l’app il prima possibile, soprattutto se i dispositivi mobile su cui è installata vengono utilizzati in ambiti produttivi e industriali. Se l’aggiornamento non viene segnalato automaticamente dal sistema, possiamo installarlo manualmente: basta aprire il Play Store (su smartphone Android), l’Apple Store (su smartphone iOS) o lo Store (su smartphone Windows Phone) e toccare il pulsante Aggiorna.
Secondo Oded Vanunu, Head Of Products Vulnerability Research di Check Point Software Technologies, “questo episodio sottolinea ancora una volta come le nostre app quotidiane siano sempre più spesso prese di mira da malintenzionati per ottenere l’accesso ai nostri dati privati e sensibili, o addirittura per ottenere il pieno controllo sul nostro dispositivo. Tale metodo continuerà ad essere utilizzato dagli aggressori a causa dell’uso continuativo e quotidiano di queste app. Le vulnerabilità sulla piattaforma mobile valgono molti soldi, per esempio nel listino prezzi Zerodium si è disposti a pagare fino a 1 milione di dollari per la vulnerabilità di WhatsApp che permette l’esecuzione di codice remoto. Noi chiamiamo questo tipo di attacchi Gen V, perché di larga scala, multi-vettore e in rapida evoluzione”.
Andrea Muzzi, Technical Manager di F-Secure, pensa invece “ad una piramide per dare un’immagine del panorama odierno delle cyber minacce. Una piramide divisa in: base, centro e vertice. Alla base e al centro collocherei la galassia che va dal phishing al trojan passando per le varie categorie di ransomware; insomma, tutte quelle minacce che ogni giorno combattiamo con strumenti e pratiche ormai note. Il vertice, invece, lo popolerei con i meno noti “Target Attack” proponendo subito come esempio l’attacco che ha subito WhatsApp”.
Ai più questa definizione potrebbe risultare del tutto nuova, ma chi mastica un po’ di cyber security sa benissimo di cosa stiamo parlando. Secondo Muzzi siamo di fronte a “minacce molto difficili da riconoscere e contrastare. Minacce altamente tecnologiche sviluppate ad hoc per uno o più obiettivi specifici. Dietro queste minacce si possono nascondere vere e proprie organizzazioni con tanto di sede legale e fatturati miliardari o addirittura governi. Capite bene che di fronte a questo tipo di attacchi c’è ben poco da fare. Questi attacchi non amano la pubblicità”.
“Nella maggior parte dei casi, – continua l’analista di F-Secure – “sono silenti e solo in casi sporadici se ne ha notizia come è stato tempo fa per Stuxnet e in questi giorni per WhatsApp. Non a caso, appena si è sparsa la notizia di questa falla nella nota app di messagistica istantanea, subito abbiamo pensato alla solita minaccia che sfrutta una vulnerabilità. Solamente verso la fine della giornata si è andata piano piano delineando la vera portata dell’attacco e della sua provenienza”.
Che fare allora? Gli strumenti che utilizziamo per proteggerci non sono più validi?
“Assolutamente no” è la risposta secca di Muzzi. “È importante mantenere e aggiornare le risorse che abbiamo sui nostri dispositivi. L’esempio di WhatsApp ci ricorda, per chi non l’avesse ancora fatto, l’importanza di proteggere i nostri dispositivi sempre di più depositari di informazioni sensibili. La protezione deve riguardare non solo la sicurezza verso le minacce o l’aggiornamento costante dei software installati, ma anche una valutazione più accurata e critica dei permessi di accesso alle risorse del dispositivo da parte delle applicazioni installate”.
