Una delle leggi non scritte dell’informatica prevede che più una certa tecnologia ottiene favore di pubblico, maggiore è la probabilità che qualche mal intenzionato cerchi di utilizzarla per far circolare malware di vario tipo (virus, worm, trojan e via dicendo). WhatsApp è una delle applicazioni di messaggistica istantanea più utilizzate dagli urenti di smartphone e tablet, quindi era abbastanza scontato che i pirati informatici cominciassero a prenderla di mira.
Nei precedenti articoli abbiamo già visto come si spia WhatsApp utilizzando dei semplici trucchi eppure in questi mesi sono comparsi in rete moltissimi malware che sfruttano delle vulnerabilità per leggere le nostre conversazioni.
Non è la prima volta
In realtà, sta già succedendo da qualche tempo: oltre due anni fa era comparso il malware Privanka. Si trattava di un semplice worm che si presentava ad un utente sotto forma di nuovo contatto: appena il malcapitato accertava d i inserire Privanka nella propria rubrica, il worm cancellava tutti i contatti della rubrica sostituendoli con se stesso. Non provocava, dunque, veri e propri danni economici o lesioni della privacy, ma era certamente fastidioso. Privanka, però, ha aperto la strada a qualcosa di mollo piti pericoloso: sulla sua stessa falsa riga, infatti, è stato recentemente scoperto un altro mainare il quale, tuttavia, presenta
un rischio non indifferente per la privacy degli utenti. Privanka, infatti, si basava sull’accettazione di una vCard, ovvero un biglietto da visita elettronico. Il malware si presentava alle sue vittime con il proprio biglietto da visita e quando queste lo accettavano cominciava a modificare la rubrica di WhatsApp. Era una sorta di proof of concept, cioè un test sul funzionamento di un malvvare: avrebbe potuto provocare enormi danni, ma non lo faceva, in un certo senso, serviva soltanto a dimostrare la fattibilità di questo tipo di attacco nei confronti di WhatsApp.
Il pericolo adesso è reale
Negli ultimi tempi, invece, si sta diffondendo un malware ben più pericoloso, in quanto si tratta di uno Spyware vero e proprio e non più un worm: non si limita quindi ad essere fastidioso, ma piuttosto ruba fotografie e informazioni personali. Questo spyware si diffonde anch’esso mediante finti biglietti da v isita in formato vCard ed è stato appositamente progettato per la versione Web di WhatsApp: basta accettare il biglietto da visita malevolo per essere infettati. Una volta che il nostro accoltili viene compromesso dallo spyware, il programma può leggere le nostre conversazioni e prelevare le nostre fotografie o i video. E gli autori dello spyware possono avere accesso a tutti questi dati, facendone ciò che vogliono: anche caricare le nostre foto private sul Web. E non è detto che ciò avvenga subito: il pirata, infatti, potrebbe decidere di pubblicarli anche tra qualche tempo e, quando meno ce lo aspettiamo, potremmo ritrovare le nostre immagini su siti a dir poco inattendibili.
Attenti al falso messaggio
Ma è stato scoperto anche un altro malware che colpisce gli utenti WhatsApp (questa volta nella versione app per smartphone), utilizzando un metodo tanto comune sulle varie chat da essere quasi banale: un falso messaggio. Gli utenti vittime si sono visti arrivare un messaggio che indicava la presenza di un messaggio vocale registrato nella segreteria, corredato da un pulsante cori la scritta “Ascolta il messaggio”. E ovviamente. appena gli utenti cliccano su quel pulsante vengono indirizzati ad una pagina Web ricca di malware di vario genere. Il principio di funzionamento è più o meno lo stesso di quelle e-mail che contengono un link per ottenere una pillola miracolosa che fa dimagrire in dieci minuti mangiando un cinghiale arrosto, ma poi ci reindirizzano al download di uno spyware (magari il classico file “importante.pdf.exe”).
10 trucchi per spiare le conversazioni di WhatsApp su Android
Impariamo a difenderci
Per evitare questi malware è sufficiente non accettare i biglietti da visita digitali di persone che non conosciamo c non cliccare su alcun pulsante di “segreteria”, visto che WhatsApp non ha una segreteria telefonica. Sono due semplice norme di buon senso, che tuttavia molti utenti non seguono: sono infatti milioni (una stima parla di 200 milioni) gli utenti caduti vittima di questi malware. Il problema è che per quanto sicuro possa essere un programma di per se stesso, avrà sempre un punto debole: l’utente, che è capace di fare qualcosa di sciocco e vanificare tutti gli sforzi dei programmatori per migliorare la sicurezza. In questo senso, il racconto del pirata può aiutarci ad evitare di cadere nelle sue stesse trappole!
Tutti i pericoli di WhatsApp
Quali sono i rischi per un utente che usa WhatsApp, sia nella versione Web sia in quella per smartphone? O, per meglio dire, quali sono i punti deboli di questa applicazione di messaggistica istantanea? Innanzitutto, un problema “tecnico”è dato dall’assenza di un sistema valido di crittografia sicura: i messaggi che inviamo su WhatsApp non vengono infatti protetti in alcun modo (diversamente da quanto accade invece con l’applicazione concorrente Telegram, disponibile per Android, iOS e Windows Phone) quindi un eventuale malintenzionato che riesca ad intercettare le nostre comunicazioni sarà in grado di leggere i messaggi. Ma il problema principale è di tipo psicologico e sociale: WhatsApp consente a chiunque di contattare chiunque, permettendo agli utenti di riconoscersi soltanto tramite il numero telefonico. Questo avvantaggia i pirati, che possono facilmente scoprire il numero telefonico di una vittima e poi contattarla. E svantaggia gli utenti, che non hanno molti elementi per capire con chi stanno parlando: naturalmente ci si dovrebbe insospettire qualora ricevessimo un messaggio da una persona o da un numero telefonico che non conosciamo. Ma gli utenti hanno spesso troppa fiducia in un sistema che appare sicuro e tendono ad accettare amicizie e contatti da chiunque, prima ancora di verificarne l’identità.
Come funziona l’attacco
Il pirata prepara un programma eseguibile (per esempio il classico EXE oppure uno script BAT per Windows) e io traduce non in codice binario ma in codice base64.
Il pirata sceglie un numero telefonico da prendere di mira (ogni account WhatsApp è associato ad un numera). Naturalmente, può tirare a caso con un generatore casuale di numeri telefonia.
L’utente ‘vittima’ viene contattato dai pirata, che gli propone un biglietto da vsita elettronico in formato vCard per presentarsi.
L’utente clicca sul biglietto da visita, il quale contiene una fotografia che per convenzione dei vCard viene memorizzata come codice base64. Però non è una vera foto ,il pirata ha insèrto al suo posto il codice Pase64 dei suo programma eseguibile.
All apertura del biglietto vCard la finta fotografia viene scaricata e aperta sui computer dell’utente. Tuttavia, non apparirà alcuna immagine: invece, il codice realizzato dal pirata verrà eseguito dal sistema operativo.
Il programma dei pirata è in esecuzione, quindi può fare tutto ciò per il quale è stato progettato: leggere l’elenco dei file personali dell’utente, trovare la cartella per condividere le immagini della WebCam, zipprla e inviarla via FTP al computer del pirata.
