WhatsApp si sta cercando di misurare l’impatto di una vulnerabilità (ora risolta) nelle proprie App su iPhone e Android. A quanto pare, la vulnerabilità espone i gruppi e gli utenti dei device all’iniezione di spyware da parte di hackers. La falla nella sicurezza risulta al centro di almeno un recente tentativo di hacking contro un avvocato che rappresentava un gruppo intento a citare in giudizio il venditore di software di sorveglianza che ha creato lo spyware.
I responsabili del sistema di messaggistica, ora di proprietà di Facebook, hanno dichiarato di aver distribuito una fix a livello server lo scorso Venerdì, ed un aggiornamento da App verso gli utenti Lunedì. La dichiarazione prosegue con le seguenti parole:
Questo attacco ha tutte le caratteristiche di una azienda privata nota per lavorare con l’amministrazione federale per rilasciare spyware. Tale spyware sembrerebbe prendere il controllo delle funzioni relative al sistema operativo dello smartphone. Abbiamo contattato alcune organizzazioni e gruppi a favore dei diritti umani per condividere tutte le informazioni possibili, e stiamo lavorando con loro per notificare l’accaduto alla società civile.
Secondo una fonte del Financial Times, l’azienda ha già preso contatti la scorsa settimana con il Ministero della Giustizia.
I gestori dello spyware erano in grado di inserire codice pericoloso verso l’apparato bersaglio lanciando una chiamata vocale con il corrispondente account WhatsApp. Non era necessario che alla chiamata venisse risposto. Il Gruppo NSO, l’azienda israeliana che ha prodotto il software, è stata avvertita dell’exploit, e sta portando avanti le proprie indagini. Sembrerebbe che le chiamate vocali incriminate scompaiano automaticamente dal log delle chiamate effettuate.
NSO vende software di sorveglianza agli uffici governativi per “prevenire ed indagare su terrorismo e crimine”. Espone l’utente ad un potenziale controllo, e per tale motivo gli attivisti della privacy digitale e dei diritti umani hanno definito l’azienda “un creatore di regimi repressivi intento a mettere sotto controllo giornalisti, informatori e dissidenti”. Il prodotto principale dell’azienda, Pegasus, è capace di accendere automaticamente microfono e fotocamera di uno smartphone per raccogliere dati, estrarre log di posizione, email e messaggi.
I cittadini messicani e gli esuli sauditi hanno citato in giudizio NSO, accusandoli di complicità nell’abuso del proprio software che espone informazioni di proprietà dei gruppi dei clienti. Alcuni ricercatori del Citizen Lab dell’Università di Toronto hanno dichiarato al Times che un avvocato che rappresentava i querelanti è stato raggiunto da Pegasus attraverso la vulnerabilità di WhatsApp la scorsa Domenica. Uno dei ricercatori ritiene che la patch rilasciata nel fine settimana possa aver evitato che l’attacco assumesse un risultato più dannoso.
NSO ha inviato una dichiarazione in risposta alle domande sull’attacco. Tra le altre cose si legge:
In nessun caso la NSO è coinvolta nell’azione di raggiungere o identificare i bersagli della propria tecnologia. Essa viene gestita unicamente dai reparti di intelligence e dalle forze dell’ordine. NSO non espone, utilizza, né potrebbe utilizzare, tale tecnologia per sé stessa, al fine di raggiungere persone od organizzazioni. Compreso l’individuo in questione.
Un altro caso, riguarda un presunto tentativo di Pegasus attraverso WhatsApp e contro un ricercatore di Amnesty International in Israele. In quel caso, tuttavia, lo spyware non è stato distribuito attraverso la vulnerabilità della chiamata. Cittadini e gruppi rappresentanti dei diritti civili portano petizioni al Ministero della Difesa di Israele per revocare la licenza di esportazione ad NSO. L’agenzia ha deciso di non farlo quando Amnesty International ha presentato le proprie accuse.
Occorre ricordare che non è immediatamente evidente se la falla della chiamata possa essere utilizzata per inviare codice malevolo, o se avesse a che fare con fattori introdotti da NSO e dai propri clients. Una fonte del Times ha fatto sapere che non è tuttora noto il numero degli utenti potenzialmente infetti.
