Zero day di WhatsApp usato per distribuire spyware di Stato

WhatsApp

Il mese scorso un avvocato britannico, attivo in cause concernenti i diritti umani, ha ricevuto diverse misteriose chiamate via WhatsApp, apparentemente dalla Svezia.

L’avvocato, che difende alcuni giornalisti messicani in una causa sullo spionaggio tramite malware, si è quindi rivolto a Citizen Lab, un laboratorio dell’Università di Toronto molto attivo contro la censura, il monitoraggio e il controllo della rete da parte dei governi.

Sul dispositivo dell’avvocato Citizen Lab ha trovato quelle che ritiene siano tracce di Pegasus, un famoso “spyware di Stato” prodotto dall’israeliana NSO.

Della NSO ne avevo già parlato lo scorso anno. Si tratta di un’azienda di Herzliya, una città a nord di Tel Aviv, che produce spyware “legale”, usato cioè da governi e forze dell’ordine in tutto il mondo per monitoraggi autorizzati dalle rispettive leggi.

Ipotizzando una vulnerabilità di WhatsApp, Citizen Lab ha segnalato la cosa all’azienda che produce l’app di messaggistica istantantea più famosa al mondo, da ormai cinque anni proprietà di Facebook.

Verso i primi di maggio, quindi, WhatsApp ha confermato la presenza di una vulnerabilità che sfruttava un bug nella funzione relativa alle chiamate audio. Questo buffer overflow nello stack VOIP consentiva l’esecuzione remota di codice sul dispositivo colpito.

Le versioni colpite sono WhatsApp per Android precedente alla v2.19.134, WhatsApp Business per Android precedente alla v2.19.44, WhatsApp per iOS precedente alla v2.19.51, WhatsApp Business per iOS precedente alla v2.19.51, WhatsApp per Windows Phone precedente alla v2.18.348 e WhatsApp per Tizen precedente alla v2.18.15.

È stata probabilmente questa vulnerabilità ad aver consentito a ignoti attaccanti di installare, su un numero imprecisato di smartphone, lo spyware che Citizen Lab ritiene sia opera di NSO.

In una dichiarazione al Financial Times l’azienda israeliana ha precisato che fa molta attenzione a non farsi coinvolgere nelle attività di infiltrazione del suo software.

Nell’ambiente della cybersecurity tuttavia qualcuno – come Eva Galperin, direttrice per la cybersecurity dell’Electronic Frontier Foundation – ricorda come NSO in passato si fosse vantata di avere la possibilità di infiltrare il suo spyware “senza clic” (ovvero senza che la vittima debba fare nulla).

In effetti la possibilità di inserire il malware semplicemente inviando una telefonata tramite WhatsApp al device target, anche senza che l’utente risponda, suona proprio come un “no-click install”.

Malgrado la presenza di uno “spyware legale” – ovvero un programma inserito dalla polizia per scopi di indagine – possa far pensare a un uso ristretto dello zero day, non dobbiamo dimenticare come altre attività di monitoraggio teoricamente circoscritte a pochi (pensiamo a Exodus) siano poi sfuggite di mano infettando anche ignari cittadini che non c’entravano nulla con le operazioni di polizia.

In questo caso abbiamo un software usato da un miliardo e mezzo di persone, con una remote code execution che può essere attivata senza interazione da parte dell’utente. Una RCE scoperta solo perché qualcuno è stato così poco prudente da usarla contro un avvocato che già si sentiva un obiettivo (e che quindi era attento a ogni stranezza) e che aveva i contatti giusti per far esaminare il suo telefono.

Con queste premesse si raccomanda quindi la massima attenzione nel verificare la versione di WhatsApp installata sul telefono, aggiornandola subito se necessario.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.