Dopo il caso Palamara del 2019 sono sorte curiosità sui Trojan di Stato (detti anche 'captatori informatici') introdotti dal DL 216/2017. In particolare ci si chiede se siano davvero installabili a distanza in un cellulare senza che l'utente se ne accorga.
L'installazione a distanza di un Trojan non è impossibile come molti sostengono. Ma non è neppure una prassi comune come sostengono altri. Diciamo subito agli appassionati del tutto gratis e del tutto facile che stiamo parlando di strumenti concepiti per gli enti di intelligence. Quindi nulla a che vedere con le App Spyphone commerciali.
Il primo passo per tentare l'inoculazione del Trojan consiste nello studio a distanza del cellulare target allo scopo di individuare delle vulnerabilità. Parliamo di falle nella sicurezza del sistema operativo (o delle App già installate nel cellulare) sfruttabili per tentare l'inoculazione a distanza del Trojan.Quasi in disuso sono invece le tecniche di 'social engineering' (dette anche 'tre click'), cioè instaurare contatti a distanza con la vittima per convincerla ad installare una App apparentemente innocua nel suo cellulare. In questo caso la vittima deve fornire delle conferme all'installazione e ai relativi permessi. Ma l'accresciuta consapevolezza sui rischi informatici e le ripetute segnalazioni dei sistemi operativi quando si installano delle App hanno reso molto improbabile che qualcuno cada in nel tranello.
I vettori privilegiati per l'inoculazione a distanza dei captatori informatici sono le vulnerabilità di categoria 'overflow'. Più avanti vedremo meglio cosa sono. Ad es. un captatore professionale che può essere inoculato a distanza sfruttando determinate vulnerabilità è il 'Pegasus NSO'. Pegasus nasce in Israele da ex tecnici del Mossad e viene usato da varie organizzazioni mondiali di intelligence soprattutto per l'antiterrorismo. Per sfatare il mito dell'insicurezza di Android va detto che negli ultimi anni ci sono state delle falle potenzialmente sfruttabili per l'inoculazione a distanza dei Trojan anche Apple IOS.
Uno dei punti di riferimento per tentare inoculazioni a distanza è WhatsApp, grazie alla sua estrema diffusione e al suo ampio ventaglio di vulnerabilità.
Basti pensare che nel 2020 sono stati identificati 5 nuovi bug di WhatsApp: i CVE 1886 1889 1890 1891 e 1894. Un paio di questi potrebbero prestarsi anche all'inoculazione a distanza dei Trojan o a controlli nascosti come la posizione GPS del cellulare.
Conviene diffidare del sensazionalismo mediatico dopo il caso del trojan di Stato nel cellulare del magistrato Palamara: online girano dei video della RAI e delle Iene dove sembra che installare un Trojan a distanza in un cellulare sia una banale prassi. Ovviamente si tratta di dimostrazioni preparate. Nella realtà tutto ciò è possibile solo con sofisticati strumenti riservati agli enti di intelligence, che devono essere gestiti da esperti informatici. Ma soprattutto è possibile solo quando nel cellulare target ci sono vulnerabilità sfruttabili come vettori di inoculazione. Diversamente anche le più importanti agenzie di intelligence devono entrare in possesso fisico del cellulare per effettuare l'installazione (questa attività viene definita 'inoculazione locale'). E se il cellulare è protetto da password, l'inoculazione locale è quasi sempre impossibile. Guardate ad es. cosa ha dovuto fare l'FBI americana nel 2016 per riuscire a rimuovere la password in un Iphone5: cliccare qui.
Meglio stare attenti alle promesse del Web, agli annunci 'hire an hacker', a sfavillanti siti internet (che oggigiorno possono essere creati in meno di due ore) e a mirabolanti feedback positivi (che possono essere facilmente falsificati).
Spesso le vulnerabilità vengono pubblicizzate nella comunità hacker internazionale, quindi vengono corrette dagli sviluppatori. Ma non è sempre così. Esiste infatti uno specialissimo mercato nel dark-web dove alcuni hacker mettono in vendita le vulnerabilità che hanno scoperto a cifre oscillanti fra i 40000 euro e il milione di euro. Il pagamento avviene in criptovalute. Chi acquista l'informazione per sfruttare la vulnerabilità acquista anche il silenzio dell'hacker sulla sua scoperta. Ne consegue che l'exploit potrebbe restare sfruttabile anche per anni. Se invece la vulnerabilità viene pubblicizzata, la correzione da parte degli sviluppatori di App e sistemi operativi avviene quasi sempre con tempistiche dilatate. Ad es. il clamoroso CVE3568 di WhatsApp (buffer overflow durante una chiamata vocale) è stato corretto solo a fine 2019. Questo nonostante se ne sia parlato per mesi! Significa che nel 2020 centinaia di milioni di cellulari sono stati vulnerabili a cyber attack su bug CVE3568. E a confermare il fatto che WhatsApp non è diventato sicuro neppure dopo l'acquisizione da parte di Meta, sono emerse nel 2022 due nuove vulnerabilità piuttosto serie: le CVE 27492 e 36934.
Ma come si sfruttano queste vulnerabilità? Senza voler banalizzare un'attività estremamente complessa come il cyber attack, è cosa nota anche a programmatori alle prime armi che i buffer overflow e gli stack overflow opportunamente gestiti possono consentire l'esecuzione da remoto di codici malevoli sulla device attaccata. Ci riferiamo all'immissione in una stringa di un numero di bytes maggiore dell'array del buffer che deve contenerla.
Esempio in linguaggio C:
void leggostringatest(void) {
long num = 0;
char buff[6];
gets(buff);
}
Ma come si sfruttano queste vulnerabilità? Senza voler banalizzare un'attività estremamente complessa come il cyber attack, è cosa nota anche a programmatori alle prime armi che i buffer overflow e gli stack overflow opportunamente gestiti possono consentire l'esecuzione da remoto di codici malevoli sulla device attaccata. Ci riferiamo all'immissione in una stringa di un numero di bytes maggiore dell'array del buffer che deve contenerla.
Esempio in linguaggio C:
void leggostringatest(void) {
long num = 0;
char buff[6];
gets(buff);
}
In sintesi se 'gets' raccoglie un numero di bytes maggiore della capienza di 'buff[6]' e se l'overflow (cioè i bytes in eccesso) contiene un codice eseguibile e correttamente allocabile con un marcatore iniziale, può succedere l'imprevisto. In apparenza potrebbe sembrare che tutto ciò che eccede i 6 bytes venga scartato causa mancata capienza. In realtà viene inviato al processore del cellulare come fosse una normale istruzione della App. Poniamo che lo script arbitrario contenga un 'requestLocationUpdates' per leggere la posizione GPS del cellulare e per inviarla all'IP di un determinato server: la CPU del cellulare prende in carico il codice e lo esegue. Quindi l'attacker riceve le coordinate GPS del cellulare come se fossero state inviate da una App che in realtà non ha una funzione del genere. Ovviamente nella pratica non è così facile. Qui abbiamo solo voluto rappresentare il fatto che sono attività in qualche modo praticabili.
