Le applicazioni di messaggistica istantanea WhatsApp e Telegram offrono agli utenti la sicurezza di poter scrivere conversazioni con il massimo della privacy grazie alla crittografia ent-to-end, il che significa che solo i membri di una chat possono accedervi. Tuttavia, i file multimediali scambiati attraverso queste due app potrebbero essere esposti a e manipolati da malintenzionati, secondo una nuova ricerca condotta dal team di sicurezza di Symantec presentata nel blog della società (via The Verge). A questo tipo di attacco è stato dato il nome di "Media File Jacking" e potenziali vittime sono gli utenti Android di WhatsApp che salvano le foto e video scambiate attraverso l’app sulla memoria di archiviazione esterna e gli utenti Android di Telegram con alcune funzionalità in-app abilitate.
Il problema, scrivono i ricercatori, è "nel lasso di tempo che intercorre tra il momento in cui i file multimediali ricevuti tramite le app vengono scritti sul disco e quando vengono caricati nell’interfaccia utente della chat (UI) nell’app. Questo intervallo di tempo critico rappresenta un’opportunità per i malintenzionati di intervenire e manipolare file multimediali senza che l’utente ne sia a conoscenza. Se viene sfruttata la vulnerabilità della sicurezza, un utente malintenzionato potrebbe utilizzare e manipolare informazioni riservate quali foto e video personali, documenti aziendali, fatture e memo vocali. Gli aggressori potrebbero sfruttare i rapporti di fiducia tra un mittente e un destinatario quando utilizzano queste app."
Facciamo un passo indietro. Il sistema operativo Android consente alle applicazioni installate possono scegliere di salvare contenuti multimediali, come immagini e file audio, sulla memoria interna o, se disponibile, sulla scheda di memoria esterna. I file salvati nella memoria interna sono accessibili solo dall’app stessa, il che significa che altre app non possono accedervi. I file salvati in una directory pubblica nell’archiviazione esterna sono invece leggibili / scrivibili, quindi possono essere modificati da altre app o utenti oltre il controllo dell’app. Nella documentazione degli sviluppatori Android si legge che "la memoria interna è la migliore quando si vuole essere sicuri che né l’utente né altre app possano accedere ai propri file" mentre "l’archiviazione esterna è il posto migliore per i file che non richiedono restrizioni di accesso e per i file che desideri condividere con altre app o consentire all’utente di accedere con un computer. "
Ci sono casi in cui WhatsApp e Telegram – non su tutti i device – consentono il salvataggio dei contenuti multimediali sulla memoria esterna, se disponibile. I file vengono salvati in cartelle accessibili da altre app. Secondo i ricercatori di Symantec, un’app malevole con accesso alla memoria di archiviazione esterna potrebbe quindi arrivare a modificare i file multimediali di WhatsApp e Telegram, a volte ancora prima che l’utente li veda. A seconda di come è stata impostata un’app, infatti, i file multimediali possono essere salvati in automatico senza essere stati aperti dall’utente (succede quando il download automatico dei media è attivo).
Come si puo’ vedere nello schema qui sotto, i ricercatori di Symantec hanno analizzato il flusso di come vengono gestiti i file multimediali in WhatsApp e Telegram, rilevando che nel tempo tra il momento in cui i file vengono ricevuti per la prima volta su un dispositivo e scritti sul disco (PASSO 1 nella fogura) e quando vengono mostrati nella chat dell’app a cui fa riferimento (STEP 3) si presenta l’opportunità ideale di sfruttamento del bug: il malware può analizzare e manipolare i file (o semplicemente sostituirli con i file scelti dal malintenzionato) per scopi malevoli (PASSO 2).
Come funziona la vulnerabilita’ Media File Jacking trovata da Symantec
I ricercatori di Symantec hanno evidenziato quattro scenari in cui i malintenzionati potrebbero sfruttare il "Media File Jacking":
1. Manipolazione delle immagini. In questo scenario un’app apparentemente innocente, ma in realtà dannosa, potrebbe manipolare le foto personali in tempo quasi reale e senza che la vittima lo sappia. Esempio: l’app viene eseguita in background e controlla le foto ricevute dall’utente in Whatsapp, identifica dei volti nelle foto e li sostituisce con altro, ad esempio altri volti o oggetti. Se questo avviene prima che il destinatario apre le foto, ciò che vedrà saranno foto modificate.
2. Manipolazione dei pagamenti. un malintenzionato potrebbe manipolare una fattura inviata da un fornitore a un cliente, per indurre il cliente ad effettuare un pagamento su un account illegittimo.
3. La manipolazione dei messaggi audio. un utente malintenzionato, usando la ricostruzione vocale tramite la tecnologia deep learning, potrebbe alterare il file audio originale per comunicare al destinatario qualcos’altro usando una voce simile a quella del mittente.
4. Diffondere notizie false. In Telegram, gli amministratori usano il concetto di "canali" per trasmettere messaggi ad un numero illimitato di abbonati; un malintenzionato può modificare i file multimediali visualizzati nel feed del canale in tempo reale.
Media File Jacking – esempio di attacco su WhatsApp per manipolare immagini
Media File Jacking – esempio di attacco su WhatsApp per manipolare una richiesta di pagamento
Media File Jacking – esempio di attacco su WhatsApp per manipolare un vocale
Al momento nè Whatsapp e nè Telegram hanno adottato misure per proteggere i propri utenti da un attacco di "Media File Jacking". I ricercatori di Symantec consigliano agli sviluppatori di applicazioni come Whatsapp e Telegram, e piu’ in generale app attraverso cui gli utenti scambiano informazioni sensibili, di forzare la memorizzazione dei file multimediali in una directory non pubblica, ad esempio la memoria interna.
Gli utenti possono comunque manualmente risolvere il problema e proteggersi. In Whatsapp, è possibile disabilitare la memorizzazione di file multimediali nella memoria esterna, se è abilitata: andare in Impostazioni -> Chat -> Visibilità media. In Telegram è possibile disabilitare ‘salva in Galleria’ in: IMpostazioni -> Chat
I ricercatori di Symantec spesso ricordano che "nessun codice è immune alle vulnerabilità della sicurezza".
Il rapporto completo sulla vulnerabilità "Media File Jacking" è disponibile nel blog di Symantec (www.symantec.com/blogs/).