Uno dei punti di riferimento per tentare
inoculazioni a distanza è
WhatsApp, grazie alla sua
estrema diffusione e al suo
ventaglio di
vulnerabilità.
Basti pensare che nel 2020
sono stati identificati 5
nuovi bug di WhatsApp: i CVE
1886 1889 1890 1891 e 1894.
Un paio di questi potrebbero
prestarsi anche
all'inoculazione a distanza
dei Trojan o a
più semplici controlli nascosti come la posizione GPS
del cellulare.
|
Nel Web è facile trovare
'esperti' che
promettono di installare
le App SpyPhone a
distanza per svelare
ogni segreto.
Raccomandiamo di
diffidare di queste
promesse, anche se si
trovano in sfavillanti
siti internet. Oggigiorno
un sito internet
apparentemente super
professionale può essere
creato in meno di
due ore con conoscenze
tecniche quasi nulle. E
i
feedback positivi
possono essere falsificati
molto facilmente,
semplicemente
acquistandoli a pochi
euro presso attività
specializzate in questo
tipo di servizi. |
Spesso le vulnerabilità
di sistemi operativi e App vengono
pubblicizzate nella comunità
hacker internazionale, quindi
vengono corrette dagli
sviluppatori. Ma non è
sempre così. Esiste infatti un
mercato nel dark-web dove alcuni
hacker mettono in vendita le
vulnerabilità che hanno scoperto
a cifre oscillanti fra i 40000
euro e il milione di euro. Il
pagamento avviene ovviamente in criptovalute.
Chi
acquista l'informazione per
sfruttare la vulnerabilità
acquista anche il silenzio
dell'hacker sulla sua scoperta.
Quindi l'exploit potrebbe
restare sfruttabile anche per
anni.
Se invece la vulnerabilità viene
pubblicizzata, la correzione da
parte degli sviluppatori di sistemi operativi
e App avviene
quasi sempre con tempistiche
dilatate. Ad es. il
clamoroso CVE3568 di WhatsApp
(buffer overflow durante una
chiamata vocale) è stato
corretto solo a fine 2019.
Questo
nonostante se ne sia parlato per
alcuni mesi. Significa
che nel 2020 centinaia di milioni
di cellulari sono stati vulnerabili a
cyber attack su bug CVE3568. E
a confermare il fatto che
WhatsApp non è diventato sicuro
neppure dopo l'acquisizione da
parte di
Meta, sono emerse nel 2022
due nuove vulnerabilità
piuttosto serie: le CVE 27492 e 36934.
Ma come si sfruttano queste
vulnerabilità?
Senza voler banalizzare
un'attività estremamente complessa come il cyber attack, è cosa nota anche
a programmatori alle prime armi
che i buffer
overflow e
gli stack
overflow opportunamente
gestiti possono consentire
l'esecuzione da remoto di codici
malevoli sulla device attaccata. Ci
riferiamo all'immissione in una
stringa di un numero di bytes
maggiore dell'array del buffer
che deve contenerla.
Esempio in linguaggio C:
void leggostringatest(void)
{
long num = 0;
char buff[6];
gets(buff);
}
In sintesi se 'gets' raccoglie
un numero di bytes maggiore
della capienza di 'buff[6]' e
se l'overflow (cioè i bytes
in eccesso oltre il sesto) contiene un
codice eseguibile
e correttamente allocabile, può
succedere l'imprevisto.
Logica vorrebbe
che tutto ciò che eccede i 6
bytes venga scartato causa mancata capienza. In
realtà viene inviato al
processore del cellulare
come fosse una
normale richiesta della
App. Poniamo
che lo script arbitrario
contenga un 'requestLocationUpdates' per
leggere la posizione GPS del
cellulare e inviarla
all'IP di un determinato
server: la CPU del cellulare prende
in carico il codice e lo
esegue. Quindi l'attacker
riceve le coordinate GPS del
cellulare come se fossero
state inviate da una App che
in realtà non ha una
funzione del
genere. Ovviamente nella
pratica non è così facile. Qui
abbiamo solo voluto
rappresentare il fatto che
sono attività possibili, ma
certamente non alla portata
degli utenti comuni e non
connesse alle App SpyPhone
acquistabili online.
