Una vulnerabilità zero-day scoperta di recente su WhatsApp, il sistema di messaggistica più famoso al mondo, ha permesso ai cybercriminali di spiare gli utenti, leggere le loro conversazioni private, attivare il microfono e la fotocamera e installare uno spyware in grado di offrire un maggior grado di sorveglianza (permette di navigare tra le foto e i video della vittima, accedere ai contatti etc.). La cosa più peggiore è che, per sfruttare la vulnerabilità, i cybercriminali non devono fare altro che chiamare la vittima via WhatsApp.
Al momento le informazioni affidabili sulla situazione scarseggiano. Ciò che sappiamo è che una chiamata fatta ad hoc scatena un buffer overflow su WhatsApp, che consente ai cybercriminali di prendere il controllo dell’applicazione e di eseguire all’interno il codice arbitrario. Sembra che i cybercriminali non solo abbiano utilizzato questo metodo per spiare conversazioni e chiamate degli utenti ma anche per sfruttare vulnerabilità precedentemente sconosciute del sistema operativo, che li aiuterebbero a installare altre applicazioni sul dispositivo. Ed è proprio ciò che hanno fatto, ovvero installare un’app spyware.
Secondo Facebook, proprietaria di WhatsApp, la vulnerabilità è stata risolta e interessa WhatsApp per Android (versioni precedenti alla v2.19.134), WhatsApp Business for Android (versioni precedenti alla v2.19.44), WhatsApp per iOS (versioni precedenti alla v2.19.51), WhatsApp Business per iOS (versioni precedenti alla v2.19.51), WhatsApp per Windows Phone (versioni precedenti alla v2.18.348) e WhatsApp per Tizen (versioni precedenti alla v2.18.15). Ciò vuol dire che solo le ultimissime versioni della app al momento sono le uniche sicure da usare. La vulnerabilità è stata risolta solo un paio di giorni fa.
Sono già registrati tentativi di sfruttare questa vulnerabilità in the wild. Il team di sicurezza di WhatsApp ha implementato alcune modifiche di back end che hanno permesso di bloccare gli attacchi che si basavano sulla vulnerabilità, ma non è stato svelato il numero di persone spiate e di chi si trattasse.
Inoltre, non è ancora molto chiaro quale fosse esattamente lo spyware installato durante la seconda fase dell’attacco, ma alcuni sospettano che si tratti di Pegasus, lo spyware famoso per le sue funzionalità di infezione estremamente flessibili.
Va detto che queste vulnerabilità sono difficili da sfruttare e che Pegasus (dando per scontato che si tratti di questo spyware) è un malware costoso, utilizzato soprattutto da cybercriminali finanziati da governi. Ciò vuol dire che se non siete oggetto di interesse da parte di spie di alto profilo, probabilmente siete al sicuro. In ogni caso, esiste sempre la possibilità che questi tool di spionaggio possano filtrare ed essere utilizzati da altri cybercirminali, per cui meglio coprirsi le spalle.
Come difendervi dagli attacchi via WhatsApp
Al momento, l’unica cosa che possiamo consigliarvi è di mantenere WhatsApp aggiornato. Per fare ciò, andate su App Store di Apple o sul Play Store di Google, cercate WhatsApp e cliccate su Aggiorna. Se invece visualizzate il tasto “Apri”, vuol dire che disponete già dell’ultima versione di WhatsApp, che include la patch in grado di proteggervi da questo tipo di attacchi.
Aggiorneremo questo post non appeno avremo nuove informazioni rilevanti sull’attacco o su altre tecniche in grado di proteggervi.