La recente vulnerabilità sulle Web app di WhatsApp e Telegram è stata rapidamente “patchata”, ma in molti non hanno capito che il rischio di sicurezza non ha riguardato le rispettive Mobile App. Cerchiamo quindi di chiarire, così da capire soprattutto come comportarsi. Ci aiuta David Gubiani, Security Engineering Manager di Check Point Italia.
Le modalità dell’attacco
Le modalità dell’attacco sono simili per i due programmi, a parte differenze minime delle singole implementazioni software, spiega David. Nella Web app di web di WhatsApp l’attaccante invia una foto al target. Le immagini che arrivano da sconosciuti (ovvero persone non presenti nell’agenda del telefonino a cui l’applicazione web è sincronizzata) appaiono solitamente offuscate (tecnicamente si chiama blob object n.d.r.) ma possono essere scaricate dal server se si effettua un “click” su di esse. Insieme all’immagine si scarica dal server anche il malware, che si attiva ed inizia la sua azione malevola, ovvero invia tutti i contenuti delle componenti locali all’attaccante. Questo mirroring permette di avere una copia precisa di tutti i dati dell’utente, delle sue chat, dei suoi contatti e periodicamente il malware risincronizza i dati locali in modo che l’attaccante possa operare proprio come se fosse la vittima target. In questo modo l’attaccante ha il pieno controllo dell’account target e può inviare altri file malevoli all’agenda contatti spargendo l’infezione e creando potenzialmente un attacco diffuso. Sulla Web app di Telegram il contagio può avvenire sia con immagini sia mediante video e poi il funzionamento è lo stesso.
WhatsApp e Telegram utilizzano la crittografia end-to- end come misura di sicurezza dei dati, per garantire che solo le persone che stanno comunicando possano leggere i messaggi e nessun altro nel mezzo. Proprio la crittografia end-to- end è all’origine di questa vulnerabilità, perché i messaggi sono crittografati dal lato del mittente e WhatsApp e Telegram non potendo vederne il contenuto, sono state incapaci di impedire l’invio di messaggi malevoli. Dopo aver risolto questa vulnerabilità, il contenuto è attualmente convalidato prima della crittografia, consentendo quindi il blocco dei file dannosi.
Sistemi non più in pericolo
Le due aziende, avvisate della vulnerabilità dal team Check Point, hanno rapidamente rilasciato una mitigazione contro lo sfruttamento di questa falla in tutti i client web, che quindi oggi non sono più in pericolo a patto di seguire queste semplici regole:
- Svuotare la cache del browser in uso (selezionando tutti i tipi di dati possibili, cronologia, cookis etc)
- Chiudere il browser
- Riaprire il browser e richiamare le applicazioni whatapp o telegram direttamente dalle pagine web. (infatti non esistono client da scaricare sul pc)
- Contemporaneamente dalle rispettive applicazioni del telefonino si devono scollegare i dispositivi pc connessi. Per whatapp questa funzionalità si trova in impostaz di whatsapp web alla voce “termina i dispositivi collegati”. Per Telegram si devono accedere le impostazioni della voce “privacy e sicurezza” e scegliere di “terminare le sessioni attive”.
Chi dovesse accedere oggi alle app web dnon sarebbe più a rischio grazie al patching effettuato dalle rispettive aziende.
Sistemi ancora a rischio e sotto quali condizioni
Chi utilizza il proprio dispositivo senza spegnerlo mai, lo tiene perennemente in stand by e con le applicazioni sempre aperte, potrebbe invece essere ancora a rischio perché si “trascina” su versioni web che potrebbero essere ancora vulnerabili. Poiché non c’è modo di capire se le applicazioni in uso siano della versione a rischio e bene preventivamente seguire i passi da 1 a 4 del paragrafo precedente e mettersi al riparo.
Sistemi mai stati in pericolo
La vulnerabilità riguardava solo le versioni Web, quindi le app mobili non sono mai state a rischio, anche se naturalmente lo era l’account per intero.
Chiunque però voglia evitare qualsiasi rischio deve scollegare il dispositivo telefonico dai dispositivi pc, cancellare la cache dei browser, chiuderlo e riaprirlo e si potrà essere sicuri di essere al riparo da questa vulnerabilità.
Prevenzione e attenzione sempre
Naturalmente conclude David è sempre buona norma evitare di cliccare su allegati che non arrivano da amici anche se purtroppo in questo attacco anche gli amici infetti spargevano il contagio. In generale è importante non rispondere a sconosciuti. Fare attenzione sempre soprattutto al mittente che invia materiali. Alcuni casi di attacchi targetizzati (cioè costruiti appositamente per la vittima potenziale n.d.r.) sfruttano proprio un evento o una situazione nota alla vittima inviando messaggi da parte di persone della sua cerchia di conoscenze e la vittima non si insospettisce proprio in funzione dell’evento o del fatto a cui la mail si riferisce e apre un allegato o seleziona un link, attivando il malware.
Per verificare se il proprio account è stato violato, si deve far attenzione alla timeline dei messaggi e se ci si accorge di messaggi che non sono stati inviati da voi e contenuti che non vi appartengono significa che qualcuno ha “doppiato” il vostro account in qualche modo e lo sta usando al posto vostro. Si può inoltre controllare dal telefono quanti siano i device e i pc collegati e regolarmente scollegarli.
Oltre a tutti questi accorgimenti dovreste anche valutare di tenere sempre aggiornate le app in uso e dotarvi di strumenti appositi, non solo antivirus, ma anche applicazioni che controllano cosa scaricate ed eventualmente avvisano del pericolo. Check point propone la Threat prevention app che per ogni nuova istanza applicativa che si sta scaricando sul mobile, effettua una verifica se sia malevola o potenzialmente malevola mediante un rating. In questo modo l’utente sa che deve eliminarla manualmente. In caso di utenti aziendali che possono contare su una piattaforma di Mobile Device Management (MDM) per il controllo dei mobile aziendali, si possono creare policy finalizzate ad impedire preventivamente il download delle app con rating negativo.
In futuro con la connessione progressivamente crescente di oggetti verso il web (grazie all’IoT n.d.r.) i rischi aumenteranno perché il Ritorno di investimento (ROI) delle azioni criminose potrebbe elevarsi potendo contare su una maggiore superficie d’attacco. Ecco perché è necessario fin da oggi iniziare azioni preventive di difesa.
