Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Spiare WhatsApp: le tecniche per sbirciare nelle chat altrui e i consigli per metterle in sicurezza

È possibile spiare WhatsApp sfruttando alcune vulnerabilità che consentono di bypassare la crittografia end-to-end usata per proteggere le conversazioni. Ecco le tecniche utilizzate dai criminal hacker e i consigli per mettere in sicurezza le chat

04 Nov 2019
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT


È possibile spiare WhatsApp e ficcare il naso nelle conversazioni private di oltre un miliardo e mezzo di persone.

Ovviamente non siamo tutti a rischio cyber spionaggio, ma per alcuni la minaccia si è già tradotta in realtà: nel maggio scorso, infatti, è stata resa nota in anteprima dal Financial Times una grave vulnerabilità della famosa applicazione di messaggistica istantanea.

Spiare WhatsApp: i fatti

Questa vulnerabilità (classificata come CVE-2019-3568) aveva un’efficacia devastante: bastava infatti una chiamata vocale via WhatsApp per installare un software spia (spyware) sul telefono del destinatario.

Quello che la rendeva particolarmente grave era che si trattava di una vulnerabilità cosiddetta “zero-clic”, cioè non era necessario l’interazione della vittima per introdurre lo spyware. La semplice telefonata VoIP via WhatsApp, infatti, generava un “buffer overflow” reso possibile dall’efficacia dell’arma messa a punto dall’attaccante.

Quindi un attacco perfetto e difficilmente contrastabile.

Per due motivi: prima di tutto perché funzionava su tutti i sistemi operativi mobili (Android, iOS e Windows Phone). In secondo luogo, perché prendeva di mira un’applicazione che, normalmente, ha accesso a tutte le funzionalità del telefono che possono interessare a un cyber criminale (foto, contatti, messaggi ecc.).

Il 13 maggio 2019 WhatsApp ha rilasciato un aggiornamento (per iOS è stato il 2.19.51, per Android il 2.19.44) che chiudeva la vulnerabilità anche se, con discutibile “trasparenza”, il changelog dell’aggiornamento dichiarava semplicemente che “Adesso puoi vedere gli sticker nelle dimensioni originali tenendo premuta la notifica”.

Sia l’arma che l’attaccante protagonisti di questa vicenda sono ormai noti: chi ha realizzato lo spyware di nome Pegasus è l’ormai famosa società israeliana NSO Group, leader mondiale dei software spia per dispositivi mobili.

Lo spyware Pegasus per il suo costo molto elevato (centinaia di migliaia di dollari) è utilizzato da agenzie governative, polizie e servizi segreti e solo per obbiettivi mirati e importanti.

Quindi è assai improbabile che possa aver colpito gli smartphone di utenti comuni (per i quali i rischi di intercettazione attraverso WhatsApp potrebbero essere di altro tipo, come spieghiamo più avanti).

La vicenda ha avuto un seguito degno di nota proprio in questi giorni: lo scorso 29 ottobre, infatti, WhatsApp e Facebook hanno citato in giudizio NSO Group.

Nella causa intentata in un tribunale della California, WhatsApp Inc. e Facebook Inc. accusano NSO Group Technologies Limited di aver utilizzato i server di WhatsApp per inviare un malware (Pegasus) che ha spiato i cellulari di almeno 1.400 utenti tra il 29 aprile 2019 e il 10 maggio 2019.

Le vittime – secondo gli avvocati di Facebook e WhatsApp – sono giornalisti, attivisti per i diritti umani, esponenti politici, dissidenti, diplomatici ed alti funzionari governativi stranieri, che si trovano negli Stati Uniti, negli Emirati Arabi Uniti, in Bahrein, in Messico, in Pakistan e in India. Non è escluso che ci siano state vittime anche in Europa.

Questa denuncia rappresenta una significativa escalation nell’uso degli strumenti informatici di spionaggio e sull’utilizzo stesso di Internet: per la prima volta un’azione legale del genere non arriva da un’associazione per i diritti civili, ma da un colosso del web come Facebook.

E l’accusa rivolta a NSO Group è forte, perché riguarda la violazione di una serie di norme, prima tra tutte il Computer Fraud and Abuse Act degli USA e il California Comprehensive Computer Data Access and Fraud Act, oltre che la violazione delle condizioni di utilizzo di WhatsApp.

Chi è NSO Group

Questa azienda è stata fondata nel 2010 da ex membri della famosa Unit 8200 (parte dell’Israeli Intelligence Corps). L’Unità 8200 è ritenuta la responsabile anche dell’attacco Stuxnet, che nel 2010 ha infettato la centrale di arricchimento dell’uranio di Natanz, facendo esplodere – con un malware, appunto Stuxnet – oltre mille centrifughe e bloccato la centrale.

Inizialmente NSO Group, che ha sede ad Herzliya (Israele), realizzava software per collegarsi da remoto agli smartphone (per fare riparazioni a distanza…), ma da lì alla creazione di software spia il passo è stato breve. Ed in pochi anni l’azienda israeliana è diventata il produttore dei migliori e più micidiali spyware del mondo.

Nel 2014 fu venduta al gruppo di private equity Francisco Partners per circa 120 milioni di dollari, poi nel febbraio 2019 è stata riacquistata dai due cofondatori dell’azienda, Shalev Hulio e Omri Lavie.

NSO Group si è sempre mantenuta nell’ombra e non se ne hanno molte informazioni (fino a pochi anni fa sembra non avesse neppure un sito web): le prime notizie significative sono emerse dal data breach che ha colpito nel luglio 2015 Hacking Team, il loro principale concorrente. Nel 2018 ha avuto ricavi per 250 milioni di dollari e “dozzine” di clienti (ufficialmente Stati e governi).

Nella home page del sito un rassicurante banner dichiara: “NSO creates technology that helps government agencies prevent and investigate terrorism and crime to save thousands of lives around the globe”. E con gli stessi argomenti ha ribattuto alle accuse di WhatsApp, dichiarando che i propri strumenti sono destinati esclusivamente ad aiutare i governi a catturare terroristi e criminali.

Ma secondo Citizen Lab, associazione non-profit collegata all’Università di Toronto, che da tempo indaga su NSO Group, questa società vende i suoi prodotti anche a regimi autoritari che li usano per spiare giornalisti e dissidenti. Un rapporto pubblicato da Citizen Lab ha rivelato che lo spyware Pegasus di NSO Group è stato utilizzato contro almeno 175 obiettivi in 45 paesi del mondo.

Ed è proprio Pegasus il prodotto che ha reso famosa NSO Group, valutata oggi 1 miliardo di dollari.

WhatsApp e sistemi di messaggistica istantanea: sono sicuri?

La denuncia di WhatsApp e Facebook riporta un’altra affermazione interessante, che è utile approfondire per capire i rischi connessi all’utilizzo di WhatsApp.

Nell’atto di accusa a NSO Group è scritto: “Non essendo in grado di rompere la crittografia end-to-end di WhatsApp, gli Imputati (NSO Group, n.d.a.) hanno sviluppato il loro malware per accedere ai messaggi ed altre comunicazioni dopo che sono state decifrate sui devices target”.

Quindi sembra di capire che WhatsApp consideri sicura la sua crittografia applicata ai messaggi. Ricordiamo che WhatsApp ha implementato la crittografia end-to-end (E2E) solo nel 2016 e che ha acquistato l’algoritmo di crittografia da Open Whisper Systems, un’associazione non-profit di sviluppo software open source con l’obiettivo di “rendere le comunicazioni private semplici”. Open Whisper, diretta da Moxie Marlinspike, è nota anche per la sua applicazione di messaggistica “Signal”, considerata tra le più sicure ed attente alla privacy.

Quindi possiamo ritenere che sia comunque difficile per un attaccante leggere i messaggi WhatsApp, se per farlo deve violare la crittografia end-to-end.

Peraltro, oggi tutti i sistemi IM (Instant Messaging) sono crittografati end-to-end e questo li rende nativamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP sviluppati negli Anni 80.

Si deve però tenere presente che anche se una comunicazione è codificata end-to-end non significa che qualcuno non possa vederla. Significa solamente che i suoi contenuti sono criptati nel percorso da un’estremità all’altra. Questo impedisce l’attacco definito man in the middle (MITM, l’uomo nel mezzo).

Ma se una delle due “estremità” viene compromessa, se il nostro telefono viene hackerato (per esempio con le tecniche utilizzate da NSO Group, come precedentemente illustrato) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

La messaggistica istantanea, dunque, si può usare essendo consapevoli dei suoi limiti e che non tutte le applicazioni hanno lo stesso livello di sicurezza.

WhatsApp, per esempio, ha alcune differenze che ne riducono il livello di privacy e sicurezza rispetto a Signal:

  • metadati: il messaggio non è leggibile grazie alla crittografia E2E, ma WhatsApp ne conserva i metadati in forma non criptata. Ricordiamo che nel caso di un messaggio i metadati sono, per esempio: data e ora di invio, i numeri di telefono del mittente e del destinatario, la loro localizzazione, ecc. Questi metadati possono fornire ad un soggetto terzo informazioni importanti. Per questo Signal – a differenza di WhatsApp – memorizza nei metadati solo il numero di telefono, la data di creazione dell’account e l’ora dell’ultima connessione ai server di Signal. Inoltre, non salva questi metadati dei messaggi sui propri server (come fa invece WhatsApp). Teniamo anche presente che WhatsApp è di proprietà di Facebook e condivide le informazioni dell’utente con l’azienda madre… anche se si tratta solo di metadati;
  • backup: sempre per ragioni di sicurezza, in Signal i messaggi sono memorizzati localmente sul dispositivo e non vengono neppure salvati nel backup di iCloud o iTunes (questo nel caso di iPhone). In Android la funzione di backup di Signal può essere utilizzata solo per trasferire i messaggi da uno smartphone ad un altro. Viceversa, in WhatsApp il backup della chat può essere salvato al di fuori dello smartphone (per esempio in un cloud) ed inoltre non è crittografato. Anche iMessage di Apple esegue il backup in cloud, ma lo fa in forma crittografata (e l’esecuzione di questo backup può essere disattivato nelle impostazioni);
  • codice sorgente: quello di Signal è pubblico, secondo la logica dell’open source, quindi accessibile per analisi, mentre quelli di WhatsApp e di iMessage – in quanto prodotti commerciali – non lo sono;
  • audit: Signal è stato sottoposto, già nel 2016, ad un audit di sicurezza da parte di un team indipendente.

Altre applicazioni IM che segnaliamo, perché considerate tra le più sicure sono:

Entrambe sono realizzate da aziende svizzere. Purtroppo, la loro scarsissima diffusione le rende poche utilizzabili.

Spiare WhatsApp: come si fa

Abbiamo detto che i messaggi sono crittografati E2E, quindi per un attaccante è più conveniente utilizzare altri strumenti per violarli.

Spesso si utilizzano le vulnerabilità dei sistemi IM, come quella utilizzata da NSO Group, ma nella maggior parte dei casi si sfrutta l’errore umano, che continua ad essere la vulnerabilità più facile da attaccare.

Il primo e più grave errore umano è l’utilizzo di un prodotto come WhatsApp da parte di persone ed aziende che si scambiano informazioni riservate. WhatsApp è un’app che non è pensata per la sicurezza e la sua stessa grande diffusione la rende un obbiettivo da parte di aziende e ricercatori che continuamente ne ricercano vulnerabilità da sfruttare.

Nel caso citato che ha coinvolto NSO Group sono stati spiati anche giornalisti, esponenti politici e funzionari governativi, che evidentemente utilizzavano WhatsApp. Ma, come ha giustamente evidenziato Andrea Zapparoli Manzoni (membro del Comitato Direttivo Clusit e Direttore di Crowdfense): “perché queste persone usano WhatsApp, che è un’applicazione commerciale senza particolari requisiti di sicurezza, per trattare informazioni delicate? Ciò li espone a rischi inutili. Chi tratta informazioni riservate non dovrebbe utilizzare – per policy – strumenti del genere, neanche per comunicazioni con amici o familiari. Non si può pretendere che un’app gratuita e di massa si preoccupi anche della nostra sicurezza”.

Dopo questa necessaria premessa, che ci fa capire – ancora una volta – come la cyber security sia prima di tutto un problema culturale, vediamo come WhatsApp può essere spiato in pratica.

La modalità più frequente è l’utilizzo di software spia, con i cosiddetti “Spyware”, di cui il citato Pegasus rappresenta solo la punta più avanzata (e costosa).

Esistono decine di app alla portata di chiunque ed a prezzi accessibili, con le quali è possibile spiare lo smartphone di un’altra persona. E si tratta di app che vengono vendute lecitamente, con lo scopo dichiarato di “controllare lo smartphone dei propri figli”. In realtà si tratta di programmi la cui installazione nel dispositivo di un terzo (senza la sua autorizzazione) rappresenta un vero e proprio reato.

Le app più note si chiamano FlexiSPY, Hoverwatch, SpyFone, Mobistealth, mSpy, TeenSafe, Cerberus, ma in rete se ne possono trovare molte altre. Quasi tutte richiedono l’accesso diretto al dispositivo da spiare, per poter essere installate.

Alcune di queste app sono finalizzate al solo spionaggio di WhatsApp, ma la maggior parte di esse sono in grado di vedere ed inviare all’esterno tutto ciò che l’utente fa con il proprio smartphone, trasformandolo in una vera e propria “cimice” ambientale.

Citizen Lab, ha pubblicato a giugno 2019 un corposo rapporto dal titolo “The Predator in Your Pocket” che analizza questi spyware in modo dettagliato.

Spiare WhatsApp: come funziona lo spyware

Tralasciamo i casi come quello di NSO Group-Pegasus, dove vengono utilizzate vulnerabilità e tecniche d’intrusione sofisticate, contro le quali l’utente ha ben poche difese.

Vediamo invece i casi più semplici, alla portata anche di attaccanti meno potenti.

Ci sono due diverse modalità:

  1. da remoto: si utilizzano le solite tecniche di phishing e social engineering, inviando un link attraverso il quale – se cliccato – si installerà lo spyware. Oppure possono essere nascosti all’interno di applicazioni o giochi gratuiti. Per questo è sempre importante che l’utente faccia attenzione ai messaggi che riceve (se contengono un link) ed eviti di istallare applicazioni di dubbia provenienza, soprattutto se scaricate da Store alternativi a quelli ufficiali. E proprio negli store di terze parti (quali per esempio: Aptoide, F-Droid, Mobogenie, AppMarket ecc.) pubblicare applicazioni dannose è molto più semplice, perché i controlli sono minori rispetto a quelli presenti sul Google Play Store e Apple AppStore (anche se talvolta anche questi hanno lasciato passare qualche app malevola);
  2. con accesso diretto al dispositivo: questa è la modalità più semplice, perché anche una persona non particolarmente esperta potrebbe procedere all’installazione dello spyware, avendo a disposizione lo smartphone della vittima (magari un collega o un familiare…) per pochi minuti. Per questo motivo, è estremamente importante che l’utente abbia sempre una password di blocco sul proprio smartphone per impedirne l’accesso abusivo da parte di qualcun’altro. Questa regola dovrebbe costituire una policy obbligatoria soprattutto nel caso di smartphone ad uso aziendale.

Una volta installato lo spyware, l’attaccante avrà a disposizione un’app o più frequentemente un account web attraverso il quale potrà vedere i dati contenuti nello smartphone della vittima: telefonate, messaggi, e-mail, foto. Potrà inoltre attivare funzioni, all’insaputa dell’utente, come fotocamera e microfono.

Ovviamente – vale la pena di ricordarlo – tutto questo è assolutamente illegale e rappresenta un reato penale.

L’uso di questi software spia, che sono definiti “captatori informatici” è regolamentato dalla legge ed è permesso solo alla polizia, su mandato della magistratura. Recentemente è stato promulgato il D.lgs. 29 dicembre 2017, n.216, (c.d. Decreto Orlando, dal nome del ministro della Giustizia del governo Gentiloni) allo scopo di regolamentarne l’utilizzo ed impedire gli abusi.

Il governo Conte ha successivamente disposto la proroga dal 26 luglio 2018 al 31 marzo 2019 dell’entrata in vigore del Dlgs. n. 216.

Altri modi per spiare WhatsApp

Abbiamo visto che la maggior vulnerabilità è rappresentata dal fattore umano.

E proprio grazie alla scarsa attenzione dell’utente è possibile spiare il WhatsApp di un’altra persona in modo estremamente semplice, senza avere particolari conoscenze informatiche. Basta utilizzare WhatsApp Web.

WhatsApp Web è una comoda app (si chiama WhatsApp Desktop) che consente di usare WhatsApp anche sul computer. In alternativa, può essere utilizzata anche come webapp tramite Chrome, Firefox, Opera, Microsoft Edge e Safari.

In entrambe le modalità, basta aprire WhatsApp sullo smartphone e – dalle impostazioni alla voce “WhatsApp Web/Desktop” – inquadrare il QRCode che compare sullo schermo del computer.

A questo punto sul computer avremo il mirroring del nostro WhatsApp, più comodo da utilizzare rispetto alla versione smartphone. Ciò significa che tutte le conversazioni WhatsApp saranno sincronizzate tra smartphone e computer.

L’unica altra condizione è che lo smartphone sia connesso ad internet. Tutto molto comodo.

Ma se è un’altra persona a prendere il nostro smartphone per abbinarlo al suo computer? Sarà un gioco da ragazzi spiare tutto quello che facciamo con WhatsApp.

Questo rischio può essere scongiurato in modo elementare, semplicemente evitando di lasciare lo smartphone incustodito senza la password di blocco.

L’impostazione di una password di blocco sul nostro dispositivo è – come già detto – una regola tanto semplice quanto indispensabile.

Possiamo poi – per maggior sicurezza – attivare su WhatsApp anche l’autenticazione a due fattori: è un’opzione disponibile nel menu Impostazioni alla voce Verifica in due passaggi.

Infine, se abbiamo il sospetto che qualcuno è riuscito a collegare il suo computer al nostro WhatsApp, basta accedere al menu WhatsApp Web/Desktop: ci verranno mostrati quali sono i dispositivi connessi. Qualora non fossimo stati noi a connetterli, dovremo semplicemente toccare l’opzione Disconnetti da tutti i dispositivi (su iOS) oppure Disconnettiti da tutti i computer (su Android).

Spiare WhatsApp: la clonazione del MAC Address

Esiste, infine, un altro modo per spiare il WhatsApp di un’altra persona: la clonazione del MAC Address. Il MAC Address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet.

Si presenta con una notazione di questo tipo: f1:56:35:47:78:cb e per conoscerlo è necessario entrare nelle Impostazioni del dispositivo da spiare.

Una volta scoperto, l’attaccante dovrà sostituire l’indirizzo MAC del proprio dispositivo con l’indirizzo MAC dello smartphone della vittima. Questo può essere fatto utilizzando app che fanno lo “spoofing” (falsificazione) del MAC Address e che si trovano facilmente (MacDaddy X o WifiSpoof per iPhone, BusyBox o Terminal Emulator per Android).

L’attaccante dovrà poi installare WhatsApp sul proprio smartphone, inserire il numero di telefono della vittima e poi attendere il codice di verifica che WhatsApp invierà al telefono della vittima. Se l’attaccante ha accesso al suo telefono (questo è sempre il punto debole), potrà leggere questo codice ed inserirlo sul WhatsApp del proprio dispositivo.

Si tratta – come si può capire – di un procedimento abbastanza macchinoso che presuppone una certa capacità tecnica da parte dell’attaccante.

Inoltre, questi dovrà avere accesso diretto al telefono della vittima: prima per scoprire il MAC Address del dispositivo e successivamente per intercettare l’SMS di conferma necessario ad attivare WhatsApp sul proprio dispositivo.

Conclusioni

Alla luce di quanto detto finora, teniamo presente che oggi la violazione di uno smartphone oggi può essere potenzialmente più grave e pericolosa di quella di un computer (perché in uno smartphone sono presenti sempre più dati e sempre più importanti).

E non dimentichiamo che per un cybercriminale può essere più utile spiare uno smartphone piuttosto che rubarlo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5