Tecnologia
video suggerito
video suggerito

L’attacco WhatsApp senza link né codici, il tecnico De Bortoli: “Non capiamo come avvenga l’intrusione”

Un attacco “zero click” senza virus o link sembra compromettere decine di account WhatsApp, aggirando persino l’autenticazione a due fattori. Intervistato da Fanpage.it, l’esperto di informatica forense Antonio De Bortoli svela alcuni dettagli della misteriosa minaccia informatica: “Molti punti oscuri, Meta deve intervenire”
Aggiungi Fanpage.it alle tue fonti preferite su Google.
Avatar autore
A cura di Niccolò De Rosa
Immagine

Nessun link da aprire, nessun codice da comunicare, nessun virus da scaricare. Eppure decine di account WhatsApp sarebbero stati compromessi attraverso una tecnica ancora poco chiara agli esperti di cybersicurezza. Dopo il caso raccontato nei giorni scorsi da Fanpage.it e analizzato dal team Forenser, nuove indagini condotte dal tecnico informatico specializzato in informatica forense Antonio De Bortoli aggiungono ulteriori elementi a una vicenda che solleva seri interrogativi sulla sicurezza della piattaforma di messaggistica più utilizzata al mondo.

Tutto è iniziato quando uno dei suoi clienti ha segnalato un'anomalia apparentemente inspiegabile: alcuni contatti stavano ricevendo messaggi con richieste di bonifici bancari a suo nome, pur senza che lui avesse inviato nulla.
"All'inizio pensavo che avesse cliccato qualche link sbagliato, come accade di solito con le truffe di phishing", ci ha raccontato De Bortoli, che in un recente post su LinkedIn ha riassunto le prime conclusioni del suo lavoro. "Lui però era assolutamente sicuro di non aver fatto nulla".

In effetti le verifiche successive non solo hanno dato ragione all'utente, ma hanno iniziato a delineare uno scenario ben diverso dai soliti attacchi basati sull'ingegneria sociale. "Ci siamo accorti immediatamente che c'era qualcosa di anomalo. La mia preoccupazione più grande non è solo ciò che è successo, ma il fatto che non siamo ancora riusciti a capire con certezza come sia potuto accadere".

Leggi anche
Basta ricevere un messaggio per farsi clonare l'account: scoperto nuovo attacco zero-click su Whatsapp

Cosa sappiamo dell'attacco zero click agli account di Whatsapp

Accortosi dell'anomalia, De Bortoli ha quindi iniziato a studiare questo attacco "zero click" – ossia un attacco che infetta un dispositivo anche se la vittima non ha scaricato un malware né cliccato su link sospetti – scoprendo molte delle caratteristiche individuate anche da Forenser e dal perito informatico forense Paolo Da Checco. Negli account presi di mira un misterioso soggetto terzo riesce a collegarsi all'account WhatsApp della vittima come se fosse il dispositivo principale. Un comportamento che, teoricamente, non dovrebbe essere possibile poiché l'app consente di collegare fino a quattro dispositivi secondari a uno smartphone, ma permette di aprire una sola sessione principale. Una volta creato questo canale "parallelo", l'intruso inizia ad accedere alle chat più recenti e invia messaggi ai contatti, chiedendo piccole somme di denaro con un set di frasi pre-impostate. Il tutto senza lasciare alcuna traccia: anche nella sezione "Dispositivi collegati" non compare alcuna connessione sospetta.

"Dopo aver aperto una seconda sessione principale, il telefono della vittima viene sottoposto a uno storm di connessioni che circa ogni due secondi sposta il controllo dell'account dal telefono della vittima al dispositivo dell'attaccante", spiega De Bortoli. "Se i messaggi vengono inviati dall'attaccante dalla sua sessione, questi non compaiono sul telefono della vittima. Potrebbe quindi instaurarsi una conversazione parallela e totalmente invisibile per la vittima originaria".

Nella maggior parte dei casi il sospetto nasce solo quando iniziano ad arrivare risposte insolite da amici e conoscenti ai quali sono stati chiesti dei soldi. L'indagine di De Bortoli ha però individuato anche nuovi aspetti che arricchiscono una vicenda già complessa.

I nuovi elementi dell'analisi

L'indagine di Forenser aveva ipotizzato lo sfruttamento di due vulnerabilità note e correlate – una su iOS 16 e una su WhatsApp – eppure, nei casi osservati da De Bortoli, anche quando l'applicazione di WhatsApp era aggiornata all'ultima versione già "patchata", l'aggressore riusciva comunque a insinuarsi nel sistema.

Non solo. De Bortoli ha appurato che nemmeno l'autenticazione a due fattori, spesso segnalata come un possibile strumento di difesa contro simili attacchi, sembra in grado di garantire una protezione sufficiente, poiché almeno uno dei dispositivi infettati aveva già adottato questa precauzione prima di essere infettato.

Facendo dei test con gli smartphone violati, il team di De Bortoli è anche riuscito a effettuare un tentativo di "contrattacco tecnico" per raccogliere maggiori informazioni, interrogando più porte della connessione. Da questa analisi è emerso l'utilizzo di una VPN localizzata a Hong Kong. Qui l'esperto ha anche raccolto indizi sufficienti per ipotizzare che dietro i messaggi inviati ai contatti non ci sia un uomo, ma un algoritmo "vecchia scuola".

"Il sistema non riesce a mantenere il contesto e si basa solo su frasi fatte. Se ad esempio gli scrivevi ‘Ti chiamo', rispondeva automaticamente ‘No, ho il telefono rotto', ma se poi si usciva un po' dal binario prestabilito, il sistema non era più in grado di replicare in modo sensato".

I punti oscuri e le responsabilità di Meta

Il lavoro di De Bortoli ha anche confermato come in questa storia ci siano ancora dei punti oscuri che rendono l'intera vicenda piuttosto inquietante.

Innanzitutto né lui, né i ricercatori Forenser sono ancora stati in grado di capire in che modo avvenga l'intrusione. "A distanza di due settimane, non abbiamo trovato alcun vettore d'infezione all'interno del dispositivo – come immagini o file malevoli – che possa aver aperto una porta all'attaccante. Il telefono risulta attualmente pulito", conferma il tecnico.

Anche le possibili difese restano avvolte da un alone di incertezza. Mantenere aggiornati WhatsApp e iOS, monitorare i "Dispositivi collegati" e attivare la doppia autenticazione sono sicuramente accorgimenti utili, ma lo stesso De Bortoli ha potuto appurare come non siano sufficienti ad assicurare una protezione totale.

C'è poi da chiedersi perché, al netto di una tecnica così ingegnosa, i messaggi truffaldini vengano affidati a un bot molto limitato."Per quale motivo sfruttare una vulnerabilità così complessa e ancora inspiegabile per mettere in atto una truffa così banale?", si chiede De Bortoli. "Finché non scopriremo cosa sia veramente successo, non potremo sapere se le persone stanno usando WhatsApp in sicurezza o se qualcuno stia accedendo in modo silente alla loro messaggistica".

L'ultimo dubbio riguarda infine la condotta di Meta, l'azienda proprietaria di WhatsApp: "Né Meta né Apple permettono all'utente, o a chi ne fa le veci, di conoscere gli indirizzi IP di provenienza delle connessioni e questo rallenta molto l'indagine", conclude De Bortoli. "Noi ingegneri e tecnici forensi possiamo analizzare i dati presenti sul dispositivo fisico, ma oltre il telefono non possiamo andare. Spetta dunque a Meta intervenire: in questo momento non sta garantendo la sicurezza della sua architettura".

Immagine
terrorgram
Ci sono cose in comune nei ragazzi che hanno accoltellato i prof, a partire da Euno
Stragi pianificate da ragazzini di 13 e 14 anni: indagine nella True Crime Community online
Siamo entrati nella chat Telegram creata prima che il 13enne accoltellasse la prof
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Tecnologia
api url views