È di qualche giorno fa la notizia secondo cui WhatsApp, una delle piattaforme online più utilizzate al mondo con oltre due miliardi di utenti, ha lanciato un nuovo portale per fornire informazioni sulla sua sicurezza grazie alla pubblicazione delle cosiddette vulnerabilità ed esposizioni comuni (CVE, Common Vulnerabilities and Exposures), utili ai ricercatori per meglio studiarne la struttura e all’app per essere più trasparente sulle vulnerabilità che la colpiscono, dando nello stesso tempo una risposta al feedback degli utenti.
Questa nuova pagina si aggiornerà mensilmente, o prima, se nel momento di attacco attivo si dovranno avvisare gli utenti, e in più conterrà anche un archivio dei CVE passati risalenti al 2018. E intanto è stata già utilizzata per pubblicare i dettagli di sei vulnerabilità finora sconosciute e tenute nascoste, che WhatsApp ha ora corretto.
Tra queste, quella che ha richiesto più tempo per essere patchata e che ha destato maggiori preoccupazioni poteva essere attivata da remoto, anche se WhatsApp ha smentito di aver individuato prove di un possibile sfruttamento da parte dei criminal hacker.
Indice degli argomenti
WhatsApp e app spia: il sospetto ricade ancora sulla NSO
Sembrano essere molte, quindi, le somiglianze con il caso Pegasus, l’app spia che riesce ad attaccare i dispositivi mobili sfruttando una vulnerabilità zero-day presente in dispositivi e software. O con gli attacchi di cui già abbiamo abbondantemente parlato, subiti da numerose vittime nel 2019, tra cui il Presidente del Parlamento catalano, Roger Torrent, o anche il giornalista investigativo marocchino Omar Radi.
Insomma, una storia ricorrente che richiama sempre e comunque la società israeliana NSO, madre di presunti malware di spionaggio. La continuiamo a chiamare guerra ibrida o ancora guerra informatica aperta.
Dietro questi termini si nasconde la volontà di carpire segreti e gettare “nubi” sui maggiori produttori di software per la protezione dei dati. L’utilizzo di app spia si innesta nell’iper-connessione tra l’uomo e gli oggetti, l’ormai conosciuta IoT, Internet of Things o Internet della Cose, e si estende a ogni tipo di legame relativo, come detto sopra, alle esposizioni comuni (CVE) associate.
Andiamo a vedere meglio di cosa si tratta e qual è la soluzione lanciata da WhatsApp.
App spia: la soluzione proposta da WhatsApp
Partiamo dal fatto che non si comprende ancora bene se la vulnerabilità era associata ad un’app spia vera e propria o se sia servita a qualche multinazionale per “sniffare” le informazioni di milioni di utenti.
Il dubbio è legittimato da quando, nel 2013, Facebook aveva in dote il tunneling VPN, un protocollo di comunicazione che prometteva di proteggere le connessioni Internet degli utenti su reti Wi-Fi insicure.
Lo stesso software, utilizzato anche da Apple, comunicava le connessioni dannose sui server Onavo Protect che a sua volta proteggeva, ma registrava anche, ogni tipo di dato. Nel 2018, anche grazie a rivelazioni di persone vicine alla CIA e FBI, Onavo Protect è stato ritirato dal mercato.
Questa piccola storia ci riporta alle preoccupazioni di WhatsApp, ma in nuovi software. Si pensa che questo instradamento delle chiamate, messaggi (e risposte) siano appunto delle esposizioni comuni e che siano simili a Onavo Protect.
Stavolta, però, la “spia” non è nascosta in un singolo software, ma si muove, grazie all’intelligenza artificiale, in relazioni tra oggetti e persone attraverso le applicazioni. Questo software si pensa possa essere dannoso sia per la cosiddetta profilazione diretta sia per captare i gusti delle persone, pilotandone le scelte in anticipo. Un modo rivoluzionario non solo per avere accesso ai dati, ma anche per farne parte.
Come accade sul web, con i cookie, biscotti d’aggancio, questo meccanismo entra nella navigazione così come nella qualità e nella quantità dei nostri contatti.
Le informazioni che trapelano su questo nuovo portale di WhatsApp, tramite il blog, riguardano al momento, come dicevamo, sei vulnerabilità precedentemente sconosciute e già corrette e altre tredici scoperte nel 2018 e 2019, alcune delle quali sono venute fuori grazie agli algoritmi interni di WhatsApp che analizzano in continuazione il codice, altre grazie a ricercatori indipendenti che partecipano al Bug Bounty Program del gruppo Facebook.
Erano quindi a rischio tutte le app per Android e iOS, WhatsApp Web e WhatsApp Business, tuttavia pare che nessun hacker sia riuscito a venire a conoscenza di queste falle e quindi che non ci siano state vittime di furti di dati.
Resta inteso che per l’utente questa pagina informativa sulle falle non è così esaustiva come si può immaginare, in quanto ci troviamo davanti a tecnicismi e dati poco dettagliati per comprendere quali siano effettivamente i rischi che si corrono.
Ad esempio, nel caso dell’ultima falla risolta, la CVE-2020-1894, viene specificato solo che l’invio di un messaggio vocale avrebbe favorito l’esecuzione del codice arbitrario.
Nel caso invece della vulnerabilità CVE-2019-3568, utilizzata dal gruppo israeliano NSO citata prima, si sfruttava un bug nella funzione di chiamata audio dell’app per consentire al chiamante di iniettare spyware sul dispositivo vittima, sia se la chiamata riceveva risposta, sia in caso contrario.
Sempre WhatsApp ribadisce che “i dettagli inclusi nelle descrizioni CVE (Common Vulnerabilities and Exposures) hanno lo scopo di aiutare i ricercatori a comprendere gli scenari tecnici e non implicano che gli utenti siano stati attaccati con questi metodi”.
Aggiunge anche: “Siamo molto impegnati nella trasparenza, e questa risorsa ha lo scopo di aiutare la comunità tecnologica a beneficiare degli ultimi progressi nella sicurezza. Incoraggiamo vivamente tutti gli utenti a tenere aggiornato WhatsApp e ad aggiornare i loro sistemi operativi mobili ogni volta possibile”.
Ripensare i protocolli di comunicazione
Il problema principale riguarda sempre e comunque il protocollo di comunicazione.
Infatti, per quanto WhatsApp si possa impegnare, ed è sicuramente encomiabile come sforzo, fin quando la crittografia e la possibilità di comunicare non siano innovative e non siano protetti da codici che variano il più spesso possibile, non riusciremo sicuramente a mettere fine ad attacchi hacker.
Rimane infatti invariato il concetto che se i calcoli vengono inseriti da persone all’interno di un algoritmo con intelligenza artificiale le stesse persone possono utilizzarlo, conoscerlo per il bene e per il male. Se invece, come ci auguriamo, i calcoli e la cifratura avverranno sempre più attraverso il Quantum Computing, allora sicuramente si potrà aprire una nuova era e soprattutto una nuova gestione protetta dei nostri dati.
