Lo spyware di Paragon Solutions è stato in grado di infettare telefoni sfruttando vulnerabilità sconosciute (zero-day), senza che la vittima dovesse compiere alcuna azione. Come funziona.
Lo spyware con cui è stato spiato il fondatore dell’Ong Mediterranea Saving Humans, Luca Casarini, e il direttore di Fanpage Francesco Cancellato, si chiama Graphite ed è stato messo a punto dalla società israeliana Paragon Solution.
Progettato per infiltrarsi nei dispositivi mobili e accedere ai dati degli utenti, una volta installato, il software consente agli operatori di ottenere il controllo completo del dispositivo infetto, permettendo l’accesso a messaggi, chiamate, contatti, file e altre informazioni personali. Questo include la capacità di intercettare comunicazioni su applicazioni di messaggistica crittografata come WhatsApp, Telegram e Signal.
Come funzionano gli attacchi zero-click?
Una caratteristica distintiva di Graphite è la sua capacità di eseguire attacchi “zero-click”, che non richiedono alcuna interazione da parte dell’utente per compromettere il dispositivo. Ad esempio, l’invio di un file PDF malevolo tramite WhatsApp può essere sufficiente per installare lo spyware senza che l’utente debba aprire o interagire con il file.
Questi attacchi fanno leva su falle di sicurezza nei protocolli di gestione dei dati, in particolare nei messaggi multimediali, nei formati di file o nei sistemi di notifica push. Alcuni metodi comuni includono:
- Messaggi malevoli: il malware può essere nascosto all’interno di un file inviato tramite un’app di messaggistica. Ad esempio, un’immagine o un file PDF possono contenere codice exploit che si attiva quando l’app tenta di analizzarli, senza che l’utente debba aprire il file.
- Chiamate VoIP: alcuni spyware (come Pegasus di NSO Group) hanno sfruttato vulnerabilità nelle chiamate di WhatsApp, permettendo l’installazione del malware semplicemente ricevendo una chiamata, anche senza rispondere.
- Vulnerabilità nei servizi di anteprima: molte app generano anteprime automatiche di link o file ricevuti. Se il motore di anteprima ha una vulnerabilità, può essere sfruttato per eseguire codice dannoso in background.
Perché sono così pericolosi?
- Difficili da rilevare: Poiché non richiedono interazione dell’utente, spesso non lasciano tracce evidenti, rendendo difficile accorgersi di un’infezione.
- Target selettivi: Questi attacchi sono spesso utilizzati contro giornalisti, attivisti, politici o figure di alto profilo per ottenere informazioni sensibili.
- Elevato livello tecnico: Sono sviluppati da aziende specializzate in cyber intelligence e richiedono risorse avanzate, il che li rende accessibili solo a governi o entità con forti capacità finanziarie.
- Difficili da prevenire: Anche aggiornando regolarmente il software, il rischio zero non esiste, poiché le falle sfruttate sono spesso sconosciute al pubblico (zero-day).
Gli attacchi zero-click rappresentano una delle minacce più insidiose nel panorama della cybersecurity e sono destinati a rimanere un problema cruciale, specialmente per chi gestisce informazioni sensibili.
Il 20 febbraio arriva su Netflix “Zero Day”, la miniserie con Robert De Niro
In attesa di ricevere nuovi sviluppi sulla vicenda, vi consigliamo di vedere la miniserie che andrà in onda su Netflix a partire dal 20 febbraio 2025: “Zero Day“.
All’indomani di un devastante attacco informatico, un ex presidente (Robert De Niro) è incaricato di trovare i responsabili e cercare la verità poco prima che sia sferrato un altro attacco. Ma la più grande minaccia è una potenza straniera, oppure proviene dall’interno?
English (US)