Federico Fuga

Engineering, Tech, Informatics & science

La vulnerabilità di WhatsApp spiegata a mia figlia

15 May 2019 08:31 UTC Android Cybersecurity

A chi non è capitato di dover riempire un modulo i cui spazi da riempire sono troppo stretti per il testo da inserire? Il classico caso in cui l’indirizzo è davvero troppo lungo per lo spazio previsto e ci si arrangia scrivendo negli altri spazi, oppure sovrapponendosi al testo stampato, e rendendo il modulo praticamente illeggibile?

Una cosa simile accade quando in un software o una App riceve dei dati da internet (un server, o magari dalla stessa app installata su un altro smartphone) ma il programmatore non ha effettuato correttamente i controlli sulla lunghezza e il programma copia i dati su uno spazio troppo stretto. In questo modo i dati vanno a scrivere in spazi destinati ad altro, alterando il comportamento del programma. Questo genere di errori sono detti “Buffer Overflow” e sono una vulnerabilità assai comune.

Gli spazi in cui il programma va a scrivere possono essere destinati a vari scopi, per esempio potrebbero essere la copia della password corretta, oppure parte del programma stesso.

Quando questo succede, il mittente ha la possibilità di controllare il funzionamento dell’applicazione, e può imporre al software di installare malware, ad esempio un software spia.

Questo, semplificato ma non tanto, è quello che succedeva con la vulnerabilità corretta da Facebook pochi giorni fa.

Tale vulnerabilità è stata scoperta grazie all’analisi condotta da parte di Citizen Lab su un dispositivo compromesso e proprietà di un avvocato dei diritti umani.

Facebook ha prontamente corretto il problema e un codice è stato assegnato al problema (CVE-2019-3568).

Alla Checkpoint hanno analizzato la correzione e è stato scoperto che si trattava esattamente di questo, due controlli di lunghezza mancanti sul protocollo di chiamata.

In sostanza, è sufficiente inviare un pacchetto di chiamata opportunamente costruito per avviare dei comandi che possono, per esempio, installare un software spia sul telefono bersaglio.

Non c’è bisogno di interazione, e l’utente non si accorge di nulla, poiché il pacchetto stesso non fa suonare il telefono e non richiede l’intervento dell’utente.

Trattandosi di uno “zero-day”, ossia una vulnerabilità scoperta da un gruppo di hacker che è stato sfruttato ma non è mai stato rivelato, ed essendo i dettagli stati pubblicati dopo il rilascio della correzione da parte di Facebook, è cruciale che si proceda all’aggiornamento del software immediatamente. Nelle prossime ore probabilmente ci sarà una escalation dei tentativi di sfruttamento di questa vulnerabilità per intercettare quei dispositivi che non sono stati ancora aggiornati.

E dunque, se ancora non l’avete fatto, verificate di aver attivato gli aggiornamenti automatici di tutte le vostre app!