Spaventare le notizie sull'"exploit zero-day" di WhatsApp: quello che devi sapere

Negli ultimi giorni o due, il nostro feed di notizie è stato brulicante di avvisi su WhatsApp.

Abbiamo visto molti rapporti collegati a due tweet che affermavano l'esistenza di due falle di sicurezza zero-day in WhatsApp, fornendo i loro ID bug come CVE-2022-36934 ed CVE-2022-27492.

Un articolo, apparentemente basato su quei tweet, insisteva senza fiato non solo sul fatto che si trattava di bug zero-day, ma anche che erano stati scoperti internamente e corretti dallo stesso team di WhatsApp.

Per definizione, tuttavia, a zero-day si riferisce a un bug che gli aggressori hanno scoperto e scoperto come sfruttare prima che fosse disponibile una patch, in modo che non ci fossero giorni in cui anche l'amministratore di sistema più proattivo con l'atteggiamento più progressista nei confronti delle patch avrebbe potuto essere in anticipo sul gioco.

In altre parole, l'idea di affermare che un bug è un giorno zero (spesso scritto con solo una cifra, come 0 giorni) è persuadere le persone che la patch è almeno importante come sempre, e forse più importante di così, perché l'installazione della patch è più una questione di mettersi al passo con i truffatori che di tenersi di fronte.

Se gli sviluppatori scoprono un bug da soli e lo correggono da soli nel loro prossimo aggiornamento, non è un giorno zero, perché i bravi ragazzi sono arrivati ​​​​prima.

Allo stesso modo, se i ricercatori sulla sicurezza seguono il principio di divulgazione responsabile, in cui rivelano i dettagli di un nuovo bug a un fornitore ma accettano di non pubblicare quei dettagli per un periodo di tempo concordato per dare al fornitore il tempo di creare una patch, non è uno zero-day.

L'impostazione di un termine di divulgazione responsabile per la pubblicazione di un resoconto del bug ha due scopi, vale a dire che il ricercatore alla fine si prende il merito del lavoro, mentre al venditore viene impedito di nascondere il problema, sapendo che verrà comunque eliminato alla fine.

Allora, qual è la verità?

WhatsApp è attualmente sotto attacco attivo da parte di criminali informatici? Si tratta di un pericolo chiaro e attuale?

Quanto dovrebbero essere preoccupati gli utenti di WhatsApp?

In caso di dubbio, consultare l'avviso

Per quanto ne sappiamo, le segnalazioni che circolano al momento si basano su informazioni direttamente dallo stesso 2022 di WhatsApp pagina di avviso di sicurezza, che dice [2022-09-27T16:17:00Z]:

Avvisi sulla sicurezza di WhatsApp Aggiornamenti del 2022 Aggiornamento di settembre CVE-2022-36934 Un intero overflow in WhatsApp per Android prima della v2.22.16.12, Business per Android prima della v2.22.16.12, iOS prima della v2.22.16.12, Business per iOS prima della v2.22.16.12 potrebbe comportare l'esecuzione di codice remoto in una videochiamata stabilita. CVE-2022-27492 Un numero intero insufficiente in WhatsApp per Android prima della v2.22.16.2, WhatsApp per iOS v2.22.15.9 potrebbe aver causato l'esecuzione di codice remoto durante la ricezione di un file video creato.

Entrambi i bug sono elencati come potenzialmente responsabili esecuzione di codice remoto, o RCE in breve, il che significa che i dati intrappolati potrebbero forzare l'arresto anomalo dell'app e che un aggressore esperto potrebbe essere in grado di elaborare le circostanze dell'arresto anomalo per attivare comportamenti non autorizzati lungo il percorso.

In genere, quando è coinvolto un RCE, quel "comportamento non autorizzato" significa eseguire codice di programma dannoso, o malware, per sovvertire e assumere una qualche forma di controllo remoto sul tuo dispositivo.

Dalle descrizioni, assumiamo che il primo bug richiedesse una chiamata connessa prima che potesse essere attivato, mentre il secondo bug suona come se potesse essere attivato in altri momenti, ad esempio durante la lettura di un messaggio o la visualizzazione di un file già scaricato sul tuo dispositivo .

Le app mobili sono generalmente regolate in modo molto più rigoroso dal sistema operativo rispetto alle app su laptop o server, in cui i file locali sono generalmente accessibili e comunemente condivisi tra più programmi.

Questo, a sua volta, significa che la compromissione di una singola app mobile generalmente rappresenta un rischio minore rispetto a un attacco malware simile sul tuo laptop.

Sul tuo laptop, ad esempio, il tuo lettore di podcast può probabilmente sbirciare i tuoi documenti per impostazione predefinita, anche se nessuno di essi è file audio, e il tuo programma fotografico può probabilmente rovistare nella cartella del foglio di calcolo (e viceversa).

Sul tuo dispositivo mobile, tuttavia, c'è in genere una separazione molto più rigida tra le app, in modo che, almeno per impostazione predefinita, il tuo lettore di podcast non può vedere i documenti, il tuo programma di fogli di calcolo non può sfogliare le tue foto e la tua app per le foto non può vedere file audio o documenti.

Tuttavia, anche l'accesso a una singola app "sandbox" e ai suoi dati può essere tutto ciò che un utente malintenzionato desidera o di cui ha bisogno, soprattutto se quell'app è quella che usi per comunicare in sicurezza con i tuoi colleghi, amici e familiari, come WhatsApp.

Il malware WhatsApp in grado di leggere i tuoi messaggi passati, o anche solo il tuo elenco di contatti, e nient'altro, potrebbe fornire un tesoro di dati per i criminali online, soprattutto se il loro obiettivo è saperne di più su di te e sulla tua attività per venderli informazioni privilegiate ad altri truffatori del dark web.

Un bug del software che apre buchi di sicurezza informatica è noto come a vulnerabilità, e qualsiasi attacco che fa uso pratico di una vulnerabilità specifica è noto come an sfruttare.

E qualsiasi vulnerabilità nota in WhatsApp che potrebbe essere sfruttabile per scopi di ficcanaso vale la pena correggere la patch il prima possibile, anche se nessuno riesce mai a capire un exploit funzionante per il furto di dati o l'impianto di malware.

(Non tutte le vulnerabilità finiscono per essere sfruttabili per RCE: alcuni bug si rivelano sufficientemente capricciosi che anche se possono essere attivati ​​​​in modo affidabile per provocare un arresto anomalo, oppure negazione del servizio, non possono essere addomesticati abbastanza bene da prendere completamente il controllo dell'app arrestata in modo anomalo.)

Cosa fare?

La buona notizia qui è che i bug elencati qui sono stati apparentemente corretti quasi un mese fa, anche se gli ultimi rapporti che abbiamo visto implicano che questi difetti rappresentano un pericolo chiaro e attuale per gli utenti di WhatsApp.

Come sottolinea la pagina di avviso di WhatsApp, questi due cosiddetti buchi "zero-day" sono corretti in tutte le versioni dell'app, sia per Android che per iOS, con i numeri di versione 2.22.16.12 o successivo.

Secondo l'App Store di Apple, l'attuale versione di WhatsApp per iOS (sia Messenger che Business) è già 2.22.19.78, con cinque aggiornamenti intermedi rilasciati dalla prima correzione che ha corretto i bug sopra menzionati, che risale già a un mese fa.

Su Google Play, WhatsApp è già all'altezza 2.22.19.76 (le versioni non si allineano sempre esattamente tra diversi sistemi operativi, ma sono spesso vicine).

In altre parole, se hai impostato il tuo dispositivo per l'aggiornamento automatico, dovresti essere stato aggiornato contro queste minacce WhatsApp già da circa un mese.

Per controllare le app che hai installato, l'ultimo aggiornamento e i dettagli della loro versione, pp App Store app su iOS o Play Store su Android.

Tocca l'icona del tuo account per accedere all'elenco delle app installate sul tuo dispositivo, inclusi i dettagli dell'ultimo aggiornamento e il numero di versione corrente che hai.

---