Abbiamo visto molti rapporti che si riferivano a due tweet che sostenevano l’esistenza di due falle di sicurezza zero-day in WhatsApp, indicando i loro ID di bug come CVE-2022-36934 e CVE-2022-27492. Un articolo, apparentemente basato su quei tweet, insisteva senza fiato non solo sul fatto che si trattava di bug zero-day, ma anche che erano stati scoperti internamente e risolti dallo stesso team di WhatsApp. Per definizione, tuttavia, uno zero-day si riferisce a un bug che gli aggressori hanno scoperto e capito come sfruttare prima che fosse disponibile una patch, quindi ci sono stati zero giorni in cui anche il sysadmin più proattivo e con l’atteggiamento più progressista nei confronti delle patch avrebbe potuto anticipare il gioco.

In altre parole, l’idea di dichiarare che un bug è un giorno zero (spesso scritto con una sola cifra, come 0-day) è quella di persuadere le persone che la patch è importante come non mai, e forse anche di più, perché l’installazione della patch è più una questione di mettersi al passo con i truffatori che di stare davanti a loro. Se gli sviluppatori scoprono da soli un bug e lo correggono di propria iniziativa nel loro prossimo aggiornamento, non si tratta di uno zero-day, perché i buoni sono arrivati prima. Allo stesso modo, se i ricercatori di sicurezza seguono il principio della divulgazione responsabile, in cui rivelano i dettagli di un nuovo bug a un fornitore, ma accettano di non pubblicarli per un periodo di tempo concordato per dare al fornitore il tempo di creare una patch, non si tratta di uno zero-day.
Stabilire un termine di divulgazione responsabile per la pubblicazione di un documento sul bug serve a due scopi: il ricercatore può prendersi il merito del lavoro svolto, mentre al fornitore viene impedito di nascondere il problema sotto il tappeto, sapendo che alla fine verrà comunque rivelato.

Quindi, qual è la verità?

WhatsApp è attualmente sotto attacco attivo da parte di criminali informatici? È un pericolo chiaro e attuale?

Quanto dovrebbero essere preoccupati gli utenti di WhatsApp?

In caso di dubbio, consultare l’avviso

Per quanto ne sappiamo, le notizie che circolano al momento si basano su informazioni tratte direttamente dalla pagina dell’avviso di sicurezza 2022 di WhatsApp, che dice [2022-09-27T16:17:00Z]:

Avvisi di sicurezza di WhatsApp
Aggiornamenti del 2022
Aggiornamento di settembre

CVE-2022-36934

Un integer overflow in WhatsApp per Android prima della v2.22.16.12, Business per Android prima della v2.22.16.12, iOS prima della v2.22.16.12, Business per iOS prima della v2.22.16.12 potrebbe portare all'esecuzione di codice remoto in una videochiamata stabilita.

CVE-2022-27492

Un integer underflow in WhatsApp per Android prima della versione 2.22.16.2 e WhatsApp per iOS prima della versione 2.22.15.9 potrebbe causare l'esecuzione di codice remoto quando si riceve un file video artigianale.

Entrambi i bug sono elencati come potenzialmente in grado di portare all’esecuzione di codice da remoto, o RCE in breve, il che significa che i dati intrappolati potrebbero costringere l’applicazione a bloccarsi e che un attaccante esperto potrebbe essere in grado di truccare le circostanze del crash per innescare un comportamento non autorizzato lungo il percorso. In genere, quando si tratta di un RCE, questo “comportamento non autorizzato” significa eseguire codice di programma dannoso, o malware, per sovvertire e prendere una qualche forma di controllo remoto sul dispositivo. Dalle descrizioni, presumiamo che il primo bug richieda una chiamata connessa prima di essere attivato, mentre il secondo bug sembra che possa essere attivato in altri momenti, ad esempio durante la lettura di un messaggio o la visualizzazione di un file già scaricato sul dispositivo. Le applicazioni mobili sono generalmente regolate in modo molto più rigoroso dal sistema operativo rispetto alle applicazioni su computer portatili o server, dove i file locali sono generalmente accessibili a più programmi e comunemente condivisi tra loro. Questo, a sua volta, significa che la compromissione di una singola app mobile rappresenta generalmente un rischio minore rispetto a un attacco malware simile sul vostro computer portatile. Sul vostro portatile, ad esempio, il vostro lettore di podcast può probabilmente sbirciare nei vostri documenti per impostazione predefinita, anche se nessuno di essi è un file audio, e il vostro programma di fotografia può probabilmente rovistare nella vostra cartella di fogli di calcolo (e viceversa). Sui dispositivi mobili, invece, la separazione tra le applicazioni è molto più rigida, per cui, almeno per impostazione predefinita, il lettore podcast non può vedere i documenti, il programma di foglio elettronico non può sfogliare le foto e l’applicazione fotografica non può vedere i file audio o i documenti. Tuttavia, anche l’accesso a una singola app “sandboxata” e ai suoi dati può essere tutto ciò che un aggressore desidera o di cui ha bisogno, soprattutto se l’app in questione è quella che utilizzate per comunicare in modo sicuro con i vostri colleghi, amici e familiari, come WhatsApp. Un malware WhatsApp in grado di leggere i vostri messaggi passati, o anche solo l’elenco dei vostri contatti, e nient’altro, potrebbe fornire un tesoro di dati per i criminali online, soprattutto se il loro obiettivo è quello di saperne di più su di voi e sulla vostra attività per vendere queste informazioni interne ad altri truffatori sul dark web. Un bug del software che apre falle nella sicurezza informatica è noto come vulnerabilità, e qualsiasi attacco che sfrutti concretamente una specifica vulnerabilità è noto come exploit. E qualsiasi vulnerabilità nota di WhatsApp che potrebbe essere sfruttabile a fini di spionaggio vale la pena di essere patchata il prima possibile, anche se nessuno riuscirà mai a trovare una soluzione.

(Non tutte le vulnerabilità finiscono per essere sfruttabili per l’RCE: alcuni bug si rivelano sufficientemente capricciosi che, anche se possono essere attivati in modo affidabile per provocare un crash o un denial of service, non possono essere domati abbastanza bene da prendere il controllo completo dell’applicazione bloccata).

Cosa fare?

La buona notizia è che i bug qui elencati sono stati apparentemente corretti quasi un mese fa, anche se le ultime notizie che abbiamo visto indicano che queste falle rappresentano un pericolo chiaro e attuale per gli utenti di WhatsApp. Come sottolinea la pagina di consulenza di WhatsApp, queste due falle, cosiddette “zero-day”, sono state patchate in tutte le versioni dell’app, sia per Android che per iOS, con numero di versione 2.22.16.12 o successivo. Secondo l’App Store di Apple, la versione attuale di WhatsApp per iOS (sia Messenger che Business) è già la 2.22.19.78, con cinque aggiornamenti successivi rilasciati dalla prima correzione dei bug sopra citati, che risale già a un mese fa. Su Google Play, WhatsApp è già arrivato alla versione 2.22.19.76 (le versioni non sempre si allineano esattamente tra i diversi sistemi operativi, ma spesso sono vicine). In altre parole, se avete impostato il vostro dispositivo per l’aggiornamento automatico, dovreste essere già stati patchati contro queste minacce di WhatsApp da circa un mese. Per controllare le app installate, la data dell’ultimo aggiornamento e i dettagli della loro versione, aprite l’app App Store su iOS o Play Store su Android. Toccate l’icona del vostro account per accedere all’elenco delle app installate sul vostro dispositivo, con i dettagli dell’ultimo aggiornamento e il numero della versione corrente.

Tradotto da Sophos