Nei giorni scorsi, a causa di una vulnerabilità Zero Day, ovvero presente ab origine ma non nota allo sviluppatore del software, WhatsApp, la nota app di messaggistica istantanea e telefonia VoIP (Voice Over IP), creata nel 2009 e dal 19 febbraio 2014 entrata nel gruppo Facebook, è stata costretta a rilasciare con urgenza un aggiornamento di sicurezza.
Attraverso una semplice telefonata, anche senza che vi fosse risposta, la vulnerabilità presente poteva essere sfruttata per installare, su terminali Android e iOS, uno spyware, il Pegasus, in grado di attivare fotocamere e microfono del terminale, scansionare la lista delle e-mail e dei messaggi, ed accedere all’archivio delle posizioni GPS occupate nel tempo dal malcapitato possessore del telefono.
La falla sfruttata è considerata uno “sfruttamento non interattivo”. Per essere “infettati”, infatti, non è necessario fare clic su un collegamento o aprire un file inviato tramite messaggi. Questo particolare tipo di vulnerabilità sono rari e gli hacker, che riescono ad individuarle, le rivendono a caro prezzo sul mercato nero (anche 1 milione di dollari).
Il fatto che Pegasus, spyware sviluppato dalla società israeliana NSO Group, specializzata in cybersicurezza, sia stato venduto solo ad agenzie governative, secondo gli esperti, riduce la probabilità che ci sia stato un contagio su larga scala (le vittime sono state probabilmente scelte come singoli obiettivi di controllo da parte di organi di polizia). Da quanto reso noto sarebbe stato venduto solo in Israele, Turchia, Thailandia, Qatar, Kenya, Uzbekistan, Mozambico, Marocco, Yemen, Ungheria, Arabia Saudita, Nigeria e Bahrain.
L’accaduto sottolinea però, ancora una volta, come le app che vengono utilizzate con maggiore frequenza nella quotidianità siano sempre più spesso prese di mira da malintenzionati in cerca di possibili strade per accedere a dati privati e sensibili, o addirittura per ottenere il pieno controllo del dispositivo.
Per limitare i rischi e proteggersi da potenziali attacchi di questo tipo è consigliabile installare sui propri dispositivi solo le app strettamente necessarie, mantenendole sempre aggiornate, parimenti al sistema operativo mobile e alle relative patch di sicurezza. Inoltre sarebbe auspicabile una valutazione più accurata e critica dei permessi di accesso alle risorse del dispositivo che concediamo alle applicazioni installate.
Gennaro Annunziata