Lo spyware Graphite di Paragon spia giornalisti su WhatsApp: come funziona e può succedere a noi?

Il recente caso di spionaggio via WhatsApp che ha coinvolto alcuni giornalisti italiani, tra cui il direttore di Fanpage Francesco Cancellato e il fondatore dell'ONG Mediterranea Saving Humans Luca Casarini, ha riportato l'attenzione sulla capacità di strumenti di spyware avanzati come Graphite – il tanto chiacchierato software sviluppato dall'azienda israeliana Paragon Solutions – di penetrare nei dispositivi mobili senza che l'utente faccia nulla. Questo tipo di attacco, noto come zero-click, è particolarmente insidioso perché non richiede alcuna interazione da parte della vittima: non bisogna cliccare su link sospetti o scaricare allegati compromessi per essere infettati. Il software, una volta installato, garantisce l'accesso totale a messaggi, foto, video, contatti e può persino trasformare il telefono in un microfono ambientale per ascoltare le conversazioni altrui da remoto. L'azienda ha rescisso il contratto con il governo italiano, ma difendersi da questi attacchi informatici non è affatto semplice, ma si possono mettere in atto alcune misure di sicurezza.

Cos’è lo spyware Graphite di Paragon Solution e come funziona il software

Il software Graphite rientra in un'ampia categoria di spyware commercializzati per attività di intelligence e sicurezza nazionale, spesso venduti a governi e agenzie governative. Secondo il quotidiano britannico The Guardian, l'azienda Paragon avrebbe almeno 35 clienti governativi in Paesi democratici, escludendo però nazioni come Grecia, Polonia, Ungheria, Messico e India, che in passato sono state accusate di aver abusato di strumenti simili. Questo non esclude che software di sorveglianza vengano usati anche in contesti non legittimi, come dimostra il caso di Pegasus, il famigerato spyware sviluppato da un'altra società israeliana, NSO Group, che nel 2019 aveva destato un enorme scalpore visto che era stato utilizzato per infiltrarsi nei telefoni di giornalisti, attivisti e politici in tutto il mondo.

La somiglianza tra Graphite e Pegasus non si limita alle capacità tecniche. Entrambi sfruttano vulnerabilità nei sistemi operativi e nelle applicazioni di messaggistica come WhatsApp e Signal per aggirare la crittografia end-to-end e accedere ai contenuti delle comunicazioni. Questo avviene senza lasciare tracce evidenti e rende il rilevamento estremamente difficile, anche per gli utenti più attenti alla sicurezza online.

Ma esattamente, come funzionano gli attacchi zero-click? Tradizionalmente, per infettare un dispositivo, un attaccante deve ingannare l'utente affinché clicchi su un link malevolo o scarichi un file compromesso. Con un attacco zero-click le cose stanno diversamente. Il malware sfrutta una vulnerabilità esistente nel software del dispositivo per installarsi automaticamente. Ad esempio, una falla nel sistema di gestione dei messaggi potrebbe consentire a un hacker di inviare un MMS o un pacchetto dati strutturato in modo da eseguire codice dannoso appena ricevuto, senza che l'utente compia alcuna azione. Questo tipo di attacchi colpisce spesso le applicazioni di messaggistica e di comunicazione perché, per funzionare, devono accettare e interpretare dati provenienti da fonti esterne.

Le vulnerabilità sfruttate dagli attacchi zero-click sono chiamate zero-day, in quanto si tratta di falle di sicurezza non ancora conosciute dal produttore del software e, per questo, non ancora corrette. Proprio perché si tratta di vulnerabilità non ancora note, gli attaccanti possono sfruttarle immediatamente, lasciando alle aziende chiamate a sviluppare le necessarie patch di sicurezza letteralmente “zero giorni” utili per correggerle. Ecco perché si chiamano zero-day.

Tenendo conto della “preziosità” di queste vulnerabilità per i criminali informatici, questi le mantengono segrete il più a lungo possibile, vendendole a governi e agenzie di intelligence per lucrarci (e non poco) oppure utilizzandole per operazioni di spionaggio mirate. Per questo motivo, gli attacchi zero-click sono generalmente molto sofisticati e difficili da replicare su larga scala, ma non per questo sono impossibili da perpetrare anche a danno di utenti comuni e non solo a personaggi esposti pubblicamente, come possono essere giornalisti d'inchiesta e attivisti.

Uno dei motivi per cui questi attacchi sono così pericolosi è la loro capacità di non lasciare tracce evidenti. Quando un dispositivo viene infettato da spyware del calibro di Graphite, l'attaccante ottiene un accesso completo ai dati e può leggere, modificare, eliminare messaggi e file, oltre a monitorare la posizione del telefono e attivare il microfono senza che la vittima se ne accorga.

Come sapere se WhatsApp è vittima di uno spyware e come proteggersi

Ora è giunto il momento di affrontare il famigerato “elefante nella stanza”: come facciamo a sapere se WhatsApp è spiato? Dal momento che gli attacchi zero-click sono estremamente difficili da intercettare, non è detto che i consigli che stiamo per darvi siano sufficienti per capire come stanno le cose nel vostro caso, ma sicuramente possono rappresentare un buon punto di partenza.

• Notifiche insolite: se il telefono vibra senza ricevere alcuna notifica, fareste bene a indagare sull'accaduto andando alla ricerca di eventuali software spia.
• Aumento della temperatura: le app spia possono utilizzare eccessivamente le risorse hardware del dispositivo, causandone il surriscaldamento.
• WhatsApp rallentato: se l'app di messaggistica non è reattiva come al solito, potreste insospettirvi. Questo potrebbe accadere a causa dell'eccessivo utilizzo di RAM da parte di un'applicazione spia in esecuzione in background.
• La batteria si scarica rapidamente: escludendo problemi software e hardware che riguardano la batteria del vostro telefono, se questa si scarica rapidamente (pur non avendola stressata eccessivamente con l'uso del dispositivo), fareste bene a insospettirvi.

Per evitare che WhatsApp venga spiato, potete provare ad adottare le seguenti misure di sicurezza.

1. Mantenete sempre aggiornato il sistema operativo e le applicazioni. Anche un aggiornamento che ritenete di “minore” importanza può fare la differenza, se installato prontamente.
2. Attivare la verifica in due passaggi su WhatsApp (potete farlo recandovi nella sezione Impostazioni > Account > Verifica in due passaggi dell'app) e controllare periodicamente i dispositivi collegati al vostro account per rilevare eventuali accessi sospetti (quest'ultima operazione è fattibile andando nella sezione Impostazioni > Dispositivi collegati di WhatsApp).
3. Se possibile, evitate di connettervi a reti Wi-Fi pubbliche non protette: sono molto più pericolose di quanto possiate immaginare.
4. Scaricate le app solo da fonti ufficiali (quindi Play Store e App Store) e disinstallate tutte le app che non utilizzate più.

Ribadiamo: davanti ad attacchi spyware zero-click, come quelli che hanno interessato Francesco Cancellato e Luca Casarini, questi consigli potrebbero non bastare, ma questo non sminuisce l'importanza di adottarli comunque.

non perderti questo articolo

Cos’è uno spyware, come attacca, come difendersi ed eliminarlo