La notizia sta facendo il giro del mondo con la stessa rapidità con cui l’attacco è stato sferrato: Whatsapp ha subito un attacco hacker che, sfruttando una falla del sistema di gestione audio, riesce a installare uno spyware (anche tramite una chiamata o videochiamata senza risposta) per infettare il telefono di un “numero selezionato” di utenti e accedere ai dati contenuti nello smartphone .

La gravità di quanto accaduto è dimostrata dall’invito immediato della popolare piattaforma di messaggistica ai suoi utenti (oltre 1,5 miliardi) ad aggiornare l’app subito installando la versione rilasciata già lunedì, il giorno prima che il Financial Times lanciasse l’allarme planetario.

La notizia è stata probabilmente accolta dalla maggior parte degli utenti con un’alzata di spalle, “e vabbé parlano di un gruppo selezionato, mica avranno selezionato proprio me” oppure “e sai che danno se vedono le foto del piatto che ho mangiato ieri al ristorante”, in realtà dovrebbe preoccupare, e molto.

Spyware su Whatsapp: cosa possono fare le aziende?

“Quello che ogni utente dovrebbe chiedersi – ha dichiarato Alessio Pennasilico, Information & Cyber Security Advisor di P4I nonché uno dei principali esperti italiani di cybersecurity – è se è il caso di far passare certe informazioni attraverso strumenti di questo tipo. Al di là del caso in questione, indirizzato a uno specifico gruppo di utenti, il problema è che questo tipo di attacchi può colpire chiunque e la difesa tecnologica è limitata: l’unica cosa che l’utente può fare per salvaguardarsi è aggiornare sempre i propri software”.

Alessio Pennasilico Consiglio Direttivo e Ctsdi Clusit e Information & Cyber Security Advisor di P4I - Partners4Innovation

Ormai lo smartphone è uno strumento di lavoro, ma sia che si tratti di telefoni aziendali sia che siano apparecchi privati, viene utilizzato indifferentemente per motivi professionali e privati. Come può un’azienda proteggere le proprie informazioni, dando per scontato il fatto che è assai improbabile riesca a impedire l’utilizzo (a maggior ragione se si tratta di smartphone privati) di app consumer, come è Whatsapp?

“Il tema è di sensibilità. Dal punto di vista tecnologico non può fare altro che quello che può fare un comune privato: accertarsi che tutti i telefoni aziendali siano sempre aggiornati. Ma quello che deve chiedersi e, soprattutto, trasferire ai propri dipendenti è: perché stai scambiando un’informazione così riservata tramite Whatsapp e magari pure sul tuo telefono privato? Il messaggio che deve passare è: non fate transitare dati riservati su software di questo tipo, le chat come Whatsapp non servono per scambiare informazioni aziendali”, ha spiegato Pennasilico.

Come è avvenuto l’attacco hacker a Whatsapp?

“Tutti i software contengono degli errori di programmazione – ha ricordato Pennasilico – ed esistono società specializzate nel trovarli e poterli sfruttare per accedere ai dati gestiti da queste applicazioni. In questo caso specifico, la società israeliana NSO Group ha scoperto un bug nel motore di Whatsapp, all’interno del sistema di gestione audio, così grave da permettere di modificarne il funzionamento, anche sfruttando il solo tentativo di chiamata audio seppure senza risposta”.

Come spiegato da Facebook, proprietaria di Whatsapp, nel post CVE-2019-3568 relativo alla vulnerabilità, si è tratto di un buffer overflow nel sistema VOIP dell’applicazione: in pratica, quando in un buffer (memoria provvisoria) di una certa dimensione vengono scritti dati di dimensioni maggiori, i dati extra vanno a sovrascrivere le variabili interne del programma e quindi il software può dare risultati errati oppure, come in questo caso, prendere il controllo del programma e carpire i dati del device sul quale è installato.

Quali sono le versioni di Whatsapp a rischio?

Facebook ha specificato i sistemi operativi risultati vulnerabili, e che quindi devono essere immediatamente aggiornati, ossia tutti quelli con installate versioni di WhatsApp per Android precedente alla versione 2.19.134, WhatsApp Business per Android antecedenti alla versione 2.19.44, WhatsApp per iOS precedenti alla versione 2.19.51, WhatsApp Business per iOS precedenti alla versione 2.19.51, WhatsApp per Windows Phone antecedenti alla versione 2.18.348 e WhatsApp per Tizen precedenti alla 2.18.15.

WHITEPAPER Quali sono i mobile malware più diffusi? Mobility Cybersecurity

Per sapere qual è la versione installata sul proprio device bisogna andare su Impostazioni e poi su Info sul telefono per Android e, dopo essere entrati su Impostazioni, andare su Generali e Info per iOS.

Come si vede, il software può intercettare anche le conversazioni che si svolgono su iPhone (considerato pressoché impenetrabile).

L’azienda, che ha rilasciato la nuova versione lunedì, ha specificato che la scorsa settimana, non appena si sono resi conto della vulnerabilità, i team di ingegneri di San Francisco e Londra hanno lavorato 24 ore su 24 per chiudere la falla mettendo al riparo già da venerdì i server su cui gira Whatsapp.

Sul Financial Times si legge che Facebook ha affermato: “Questo attacco ha tutti i tratti distintivi di un’azienda privata nota per collaborare con i governi nella fornitura di spyware che, secondo quanto riferito, riprende le funzioni dei sistemi operativi di telefonia mobile. Abbiamo informato una serie di organizzazioni per i diritti umani per condividere le informazioni che possiamo e collaborare con loro per informare la società civile”.

Chi è NSO e per chi lavora

NSO è un’azienda israeliana, specializzata nell’identificare le vulnerabilità delle applicazioni, il cui prodotto di punta è Pegasus, un software in grado di accendere il microfono e la fotocamera di un telefono, scorrere tra e-mail e messaggi e raccogliere dati sulla posizione per spiare gli utenti e che, grazie a un recente aggiornamento, è in grado di installare lo spyware oggetto dell’attacco a Whatsapp. L’azienda dichiara di vendere la propria soluzione ad agenzie di intelligence del Medio Oriente e del mondo occidentale affermando che Pegasus è destinato ai governi per combattere terrorismo e crimine organizzato.

La protesta delle organizzazioni per i diritti umani

Ma c’è anche un’altra faccia della medaglia ed è l’accusa che viene rivolta a NSO da numerose organizzazioni per i diritti civili di violazioni della privacy di attivisti per i diritti umani. Tanto da indurre Amnesty International a scrivere nello scorso febbraio una lettera aperta a Novalpina Capital, fondo europeo di private equity, per interrompere le trattative per l’acquisto dell’azienda (poi puntualmente avvenuto alla fine di marzo): “È stato documentato l’uso dello spyware Pegasus di NSO Group per colpire un’ampia fetta della società civile, inclusi almeno 24 difensori dei diritti umani, giornalisti e parlamentari in Messico, un dipendente di Amnesty International, Omar Abdulaziz, Yahya Assiri, Ghanem Al-Masarir, il sostenitore della campagna per i diritti umani Ahmed Mansoor, e presumibilmente, Jamal Khashoggi [il giornalista saudita ucciso nel consolato dell’Arabia Saudita di Istanbul ndr]”, si legge nella lettera di Amnesty.

Haaretz, popolare quotidiano israeliano, scrive che lunedì gruppi per la difesa dei diritti civili hanno presentato una petizione a una corte distrettuale israeliana per revocare la licenza di esportazione a NSO, specificando tutti i casi di violazione nei quali l’azienda israeliana risulta coinvolta.

Le insidie degli spyware: il caso Exodus

Infine, un’altra scoperta di quanto sia importante tenere alta l’asticella dell’attenzione sul problema spyware (oltre che ovviamente sulla sicurezza in generale) è quella relativa allo spyware Exodus. Exodus, sviluppato dalla software house calabrese E-Surv, nasce come software legale per le intercettazioni utilizzato da molte procure italiane durante alcune indagini giudiziarie. Come ha scoperto all’inizio del 2019 l’organizzazione no profit Security Without Borders in collaborazione con Motherboard, lo spyware è finito su Google Play e ha infettato migliaia di smartphone utenti italiani. La conseguenza è che gli attaccanti possono prendere il controllo root, quindi con privilegi di amministratore, sui telefoni infetti e quindi una volta installato è in grado di spiare tutte le attività della vittima.

Dopo qualche mese si è scoperto che circola una variante per dispositivi iOS che riesce a installarsi sugli smartphone delle vittime sfruttando i certificati digitali che consentono alle organizzazioni di creare e distribuire app aziendali per uso interno senza passare per l’App Store di Apple.