Zero-day in Whatsapp
La clamorosa falla di sicurezza sarebbe stata sfruttata per portare attacchi mirati con il famigerato spyware Pegasus della società israeliana NSO Group.La notizia, diffusa in anteprima dal Financial Times, è una vera bomba. Prima di tutto perché riguarda Whastapp, cioè un’app utilizzata da 1,5 miliardi di persone. In secondo luogo perché la vulnerabilità scoperta dai ricercatori è di un’efficacia devastante: basterebbe infatti una chiamata vocale per installare un malware sul telefono del destinatario.Da un punto di vista tecnico, in realtà, l’exploit (CVE-2019-3568) sfrutta un “semplice” buffer overflow, che per essere innescato richiede una manipolazione dei dati inviati nel corso della chiamata. Il vero problema è che, stando a quanto riportano i tecnici, l’attacco funziona anche se la vittima non risponde.Insomma: si tratterebbe dell’attacco perfetto. Per due motivi: prima di tutto perché il bug funziona su tutte le piattaforme mobili (Android, iOS e Windows Phone). In secondo luogo perché prende di mira un’applicazione che, normalmente, ha accesso a tutte le funzionalità del telefono che possono interessare a un cyber-criminale.Un pirata informatico, sfruttando questa tecnica, potrebbe non solo accedere a tutti i messaggi e le chiamate Whatsapp aggirando la crittografia, ma anche utilizzare microfono e fotocamera per spiare la sua vittima.