WhatsApp e Telegram rendono vulnerabili i tuoi file?
Un problema di Android potrebbe mettere a serio rischio l'integrità dei documenti che tutti i giorni arrivano sulle app di instant messaging più popolari
Sicuramente non è un periodo felice per l’applicazione di messaggistica istantanea più popolare in Europa – anche se questa volta è in buona compagnia (Telegram, ndr). Infatti, se pensate che i file multimediali (foto, audio, video) che ricevete attraverso Telegram e/o WhatsApp siano sicuri dietro la barriera della crittografia end-to-end e non possono essere manomessi, dovete ripensarci. Proprio in queste settimane un gruppo di ricercatori è riuscito a dimostrare molteplici e interessanti scenari di attacco possibili contro le versioni Android di WhatsApp e Telegram. Questi potrebbero consentire ad attori malintenzionati di diffondere notizie false o con intento di truffa agli utenti per inviare pagamenti su account sbagliati.
Soprannominato "Media File Jacking", l'attacco sfrutta una vulnerabilità già ben nota: è risaputo infatti che qualsiasi applicazione installata su un dispositivo può accedere e riscrivere i file salvati nella memoria esterna, compresi i file salvati da altre applicazioni installate sullo stesso dispositivo. Sia WhatsApp sia Telegram permettono agli utenti di scegliere se vogliono salvare tutti i file multimediali in arrivo o su una memoria interna o sulla memoria esterna dei loro dispositivi. Tuttavia, WhatsApp per Android, di default – quindi senza avvertire l’user – memorizza automaticamente i file multimediali nello storage esterno. Mentre Telegram – sempre per Android – utilizza lo storage interno per memorizzare i file degli utenti che, in questo caso, non sono accessibili a nessun’altra applicazione.
Caso chiuso allora? Stiamo parlando di un “non problema”?
Tutt’altro, molti utenti di Telegram, per comodità e facilità d’accesso e storage, modificano manualmente questa impostazione per lo storage esterno, utilizzando l'opzione "Salva nella galleria" nelle impostazioni, così da poter condividere nuovamente i file multimediali ricevuti con i loro amici utilizzando altri canali di comunicazione come Gmail, Facebook Messenger o la stessa WhatsApp. Ovviamente ci stiamo concentrando su queste due app ‘da prima pagina’, ma a onor del vero molti altri APK Android sono soggetti a questa vulnerabilità.
Il modus operandi del "Media File Jacking"
Proprio come gli attacchi "man-in-the-disk", un'applicazione dannosa, contenente malware o simili, installata sul dispositivo dell’utente può intercettare e manipolare file multimediali come foto private, documenti o video, inviati tra gli utenti. Tutto questo proprio attraverso lo storage esterno del dispositivo, non solo lo fa a completa insaputa dei destinatari e in tempo reale. Il fatto che i file siano archiviati e caricati su una memoria esterna senza meccanismi di sicurezza adeguati, consente ad altre applicazioni con autorizzazione alla scrittura su memoria esterna mettere seriamente a rischio l'integrità dei file multimediali", hanno dichiarato gli autori di questo studio in un recente comunicato. Gli aggressori potrebbero sfruttare le relazioni di fiducia tra un mittente e un destinatario quando utilizzano queste applicazioni di Instant Messaging per guadagno personale o per creare scompiglio, hanno ulteriormente sottolineato gli esperti.
Nella loro esposizione gli autori hanno illustrato e dimostrato quattro scenari di attacco plausibili in cui un'applicazione malware può analizzare e manipolare istantaneamente i file in arrivo.
Nello specifico questi portavano a:
- Manipolazione delle immagini
In questo scenario di attacco, un'applicazione apparentemente innocente, ma in realtà contenente codice maligno, scaricata da un utente può essere eseguita in background per eseguire un attacco Media File Jacking mentre la vittima usa WhatsApp arrivando a manipolare le foto personali in tempo quasi reale e senza che la vittima lo sappia.
- Manipolazione dei pagamenti
In questo scenario, che i ricercatori definiscono "uno dei più dannosi attacchi Media File Jacking", un attore maligno può manipolare una fattura inviata da un venditore ai clienti per indurli a effettuare un pagamento su un conto controllato dall'aggressore.
- “Spoofing” dei messaggi audio
In questo scenario di attacco, gli aggressori possono sfruttare i rapporti di fiducia tra i dipendenti di un'organizzazione che – anche se fortemente sconsigliato – utilizzano queste applicazioni. Possono utilizzare la ricostruzione vocale attraverso una tecnologia di “deep learning” per alterare un messaggio audio originale per il loro guadagno personale o per creare scompiglio.
- Diffondere notizie false
In Telegram, gli amministratori utilizzano il concetto di "canali" per trasmettere messaggi ad un numero illimitato di abbonati che consumano i contenuti pubblicati. Utilizzando gli attacchi “Media File Jacking”, un aggressore può modificare in tempo reale i file multimediali che appaiono in un canale di fiducia per diffondere notizie false (le famose Fake news di trumpiana memoria).
Come proteggere i tuoi file
Già prima di pubblicare lo studio i ricercatori avevano notificato Telegram e Facebook (I proprietari di WhatsApp) in merito agli attacchi Media File Jacking, ma ritengono che il problema sarà affrontato da Google con il suo prossimo aggiornamento Q Android.
Android Q include una nuova funzione di privacy chiamata Scoped Storage che cambia il modo in cui le applicazioni accedono ai file sullo storage esterno di un dispositivo. Lo Scoped Storage fornisce a ciascuna applicazione una sandbox di archiviazione isolata nello storage esterno del dispositivo, dove nessun'altra applicazione può accedere direttamente ai dati salvati da altre applicazioni sul dispositivo.
Fino ad allora, gli utenti potevano ridurre il rischio di tali attacchi disabilitando la funzione responsabile del salvataggio dei file multimediali nello storage esterno del dispositivo.
A tale scopo, gli utenti Android possono accedervi seguendo questo percorso:
· WhatsApp: Impostazioni → Chat → Disattivare l'interruttore per 'Media Visibility'.
· Telegram: Impostazioni → Impostazioni chat → Disattivare l'interruttore per 'Salva in galleria'.