Le app di messaggistica hanno un problema di intercettazione

All’inizio del 2019, un bug nelle chiamate FaceTime di gruppo avrebbe consentito agli aggressori di attivare il microfono e persino la fotocamera dell’iPhone che stavano chiamando e di intercettare prima che il destinatario facesse qualcosa. Le implicazioni sono state così gravi che Apple ha invocato un’opzione nucleare, interrompendo completamente l’accesso alla funzione di chiamata di gruppo fino a quando l’azienda non fosse in grado di emettere una soluzione. La vulnerabilità – e il fatto che non richiedesse alcun tocco o clic da parte della vittima – ha affascinato Natalie Silvanovich.

“L’idea che potresti trovare un bug in cui è l’impatto, puoi far sì che una chiamata venga risposta senza alcuna interazione, è sorprendente”, afferma Silvanovich, un ricercatore del team di caccia ai bug di Project Zero di Google. “Ho fatto un po’ di lacrima e ho cercato di trovare queste vulnerabilità in altre applicazioni. E alla fine ne ho trovate parecchie.”

Silvanovich ha trascorso anni a studiare vulnerabilità “senza interazione”, hack che non richiedono ai loro obiettivi di fare clic su un collegamento dannoso, scaricare un allegato, inserire una password nel posto sbagliato o partecipare in alcun modo. Questi attacchi hanno assunto un’importanza crescente man mano che la sorveglianza mobile mirata esplode in tutto il mondo.

Giovedì, alla conferenza sulla sicurezza Black Hat a Las Vegas, Silvanovich presenta le sue scoperte sui bug di intercettazione remota nelle app di comunicazione onnipresenti come Signal, Google Duo e Facebook Messenger, nonché sulle popolari piattaforme internazionali JioChat e Viettel Mocha. Tutti i bug sono stati corretti e Silvanovich afferma che gli sviluppatori sono stati estremamente reattivi nel risolvere le vulnerabilità entro pochi giorni o poche settimane dalla sua divulgazione. Ma l’enorme numero di scoperte nei servizi tradizionali sottolinea quanto possano essere comuni questi difetti e la necessità per gli sviluppatori di prenderli sul serio.

“Quando ho sentito parlare di quel bug di FaceTime di gruppo, ho pensato che fosse un bug unico che non si sarebbe mai più verificato, ma si è rivelato non vero”, afferma Silvanovich. “Questo è qualcosa di cui non sapevamo prima, ma ora è importante che le persone che realizzano app di comunicazione ne siano consapevoli. Stai facendo una promessa ai tuoi utenti che non inizierai improvvisamente a trasmettere audio o video di loro in qualsiasi momento, ed è tuo onere assicurarti che la tua applicazione sia all’altezza di questo.

Le vulnerabilità trovate da Silvanovich offrivano un assortimento di opzioni di intercettazione. Il bug di Facebook Messenger avrebbe potuto consentire a un utente malintenzionato di ascoltare l’audio dal dispositivo di un bersaglio. Il Viettel Moka e JioChat bug potenzialmente davano accesso avanzato ad audio e video. Il Segnale difetto solo audio esposto. E il Google Duo la vulnerabilità ha consentito l’accesso al video, ma solo per pochi secondi. Durante questo periodo un utente malintenzionato potrebbe ancora registrare alcuni fotogrammi o acquisire schermate.

Le app esaminate da Silvanovich costruiscono gran parte della loro infrastruttura di chiamate audio e video su strumenti di comunicazione in tempo reale dal progetto open source WebRTC. Alcune delle vulnerabilità di chiamata senza interazione derivano da sviluppatori che apparentemente hanno frainteso le funzionalità di WebRTC o le hanno implementate male. Ma Silvanovich afferma che altri difetti derivano da decisioni di progettazione specifiche per ciascun servizio relative a quando e come impostare le chiamate.

Quando qualcuno ti chiama su un’app di comunicazione basata su Internet, il sistema può iniziare subito a configurare la connessione tra i tuoi dispositivi, un processo noto come “stabilimento”, in modo che la chiamata possa iniziare immediatamente quando premi Accetta. Un’altra opzione è che l’app si fermi un po’, attenda di vedere se accetti la chiamata, quindi impieghi un paio di secondi per stabilire il canale di comunicazione una volta che conosce le tue preferenze.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *