/https://www.ilsoftware.it/app/uploads/2025/02/paragon-whatsapp-spyware.jpg "Spyware Paragon Graphite: come ha fatto WhatsApp a scoprire l'attacco?")
La notizia è ormai nota: ne parlavamo anche noi già nei giorni scorsi. WhatsApp ha rilevato un attacco nei confronti di giornalisti e funzionari confermando l’esistenza di uno spyware sviluppato dalla società israeliana Paragon Solutions, chiamato Graphite. Si tratta di un software dannoso che ha permesso agli aggressori di infettare i dispositivi delle vittime, con la possibilità di assumerne il controllo e acquisire informazioni personali e riservate. Stando ai primi report, sembra che Paragon Graphite abbia compromesso i dispositivi di circa 90 persone tra giornalisti e soggetti di elevato profilo, facendo leva su WhatsApp.
Come funziona lo spyware Paragon Graphite
Paragon Solutions è l’ennesima azienda israeliana che progetta, sviluppa e commercializza soluzioni per la sorveglianza informatica. I clienti non sono utenti comuni bensì governi, forze di polizia e agenzie di spionaggio. Gli strumenti di Paragon, almeno sulla carta, sono progettati per le operazioni legate alla lotta contro il terrorismo e per il contrasto di altri reati.
Tuttavia, come emerge dalla vicenda che ha coinvolto WhatsApp, possono verificarsi abusi. Tanto che Paragon Graphite risulta sia stato utilizzato per aggredire vittime come Francesco Cancellato, direttore di Fanpage; Luca Casarini, fondatore e capomissione di Mediterranea Saving Humans, un’ONG impegnata nel soccorso ai migranti; oltre ad almeno 7 persone in Italia tra attivisti e giornalisti. Non ci sono informazioni dettagliate sulle altre vittime al di fuori del nostro Paese.
Il ruolo di WhatsApp nel caso Paragon
Meta, la società proprietaria di WhatsApp, ha accusato pubblicamente Paragon Solutions (ha inviato propria una lettera cease-and-desist) per la campagna spyware che ha sfruttato la popolarissima app di messaggistica istantanea. L’azienda guidata da Mark Zuckerberg ha diffidato Paragon dal proseguire qualunque attività a danno dei suoi utenti. I portavoce di WhatsApp hanno inoltre così commentato la vicenda:
Questo è l’ultimo esempio del perché le aziende che sviluppano spyware devono essere ritenute responsabili delle azioni illecite. WhatsApp continuerà a proteggere la capacità delle persone di comunicare in privato.
L’aspetto principale della campagna spyware è il fatto che il semplice invio di un documento PDF malevolo tramite WhatsApp ha permesso l’esecuzione del payload di Paragon Graphite.
WhatsApp e il documento PDF che ha permesso l’attacco zero-click
Sebbene si tratti di un dettaglio a nostro avviso mai emerso con chiarezza, l’attacco nei confronti dei giornalisti, attivisti e membri della società civile ha sfruttato sì il meccanismo messo in piedi da Paragon con il suo spyware Graphite, ma è stato verosimilmente posto in essere da soggetti al momento sconosciuti. Nel caso dell’Italia, da individui che hanno forti legami con il nostro Paese.
Inoltre, WhatsApp ancora non lo conferma ufficialmente ma è altamente probabile che l’esecuzione di codice dannoso sui dispositivi mobili delle vittime abbia avuto luogo proprio dall’app di messaggistica. In altre parole, Paragon Graphite avrebbe sfruttato una vulnerabilità insita in WhatsApp e in particolare nella routine che si occupa di generare l’anteprima dei documenti PDF.
Facendo leva su questa falla zero-day, sconosciuta a WhatsApp ma non agli sviluppatori di Paragon (che possono averla scoperta autonomamente…) al semplice arrivo del documento PDF malevolo, l’app di messaggistica avrebbe attivato l’esecuzione di codice dannoso sui terminali delle vittime.
È questo il sale di un attacco zero-click (o “zero-tap“, visto che si parla di dispositivi mobili…): la vittima non deve fare nulla, neppure aprire il documento malevolo, perché il codice vada in esecuzione. È il Santo Graal dei criminali informatici. Non serve neppure aprire il lettore di file PDF perché la vulnerabilità risiede nell’applicazione che riceve l’elemento malevolo.
WhatsApp spieghi chiaramente come ha fatto a rilevare l’attacco e informare le vittime
La piattaforma di messaggistica controllata da Meta ha confermato che gli attacchi in questione, basati sullo spyware Pegasus Graphite, si sarebbero registrati a dicembre 2024. Successivamente, dopo aver eseguito una serie di controlli, WhatsApp ha informato le vittime esponendo nell’applicazione un messaggio di sistema. Tale avviso riportava la spunta ufficiale di WhatsApp, a conferma che la comunicazione era da considerarsi pienamente “genuina” perché proveniente da WhatsApp stessa.
La domanda che sorge spontanea è la seguente: come ha fatto WhatsApp ad allertare le vittime dello spyware se il network è crittografato end-to-end quindi nessun messaggio e nessun allegato possono essere decodificati e riportati in chiaro, né da terzi né dal gestore della piattaforma? In uno schema di cifratura end-to-end (“E2EE“) solo il mittente e il destinatario possono leggere i messaggi vicendevolmente scambiati.
Documento PDF dannoso: come è arrivato nelle mani di WhatsApp?
Proviamo quindi a fare qualche ipotesi:
- WhatsApp ha ricevuto notizia dell’attacco da un utente. Il team tecnico di WhatsApp potrebbe essere stato avvisato da una delle vittime dell’attacco Pegasus Graphite. Si sa, infatti, che almeno in Italia lo spyware ha raggiunto una chat alla quale partecipavano alcuni utenti. Uno o più di loro potrebbero aver segnalato il problema informando WhatsApp tramite la funzione integrata nell’app di messaggistica. L’azienda sotto il controllo di Meta ha sempre ribadito che quando un utente invia una segnalazione, i messaggi oggetto di contestazione sono trasferiti in chiaro a WhatsApp. A valle di questo “input”, WhatsApp potrebbe aver avviato tutti gli approfondimenti del caso.
- Utilizzo delle risorse conservate nella cache di WhatsApp. Sappiamo inoltre che WhatsApp gestisce una cache lato server per gli allegati caricati dagli utenti. La cache si rivela utile soprattutto quando si trasferiscono file di grandi dimensioni a più persone. Vi siete mai accorti che dopo aver inviato un file pesante a un contatto, i successivi invii dello stesso elemento (a qualsiasi soggetto) sono istantanei? Questo accade perché la cache di WhatsApp mantiene per 30 giorni una copia degli allegati. Il loro contenuto, tuttavia, non è visibile neppure da WhatsApp perché cifrato con la chiave privata del mittente (generata sul suo dispositivo e conosciuta solo a quest’ultimo). I tecnici di WhatsApp possono comunque aver fatto una ricerca nella cache per cercare tutti coloro che hanno ricevuto il file malevolo a partire dal suo hash.
- WhatsApp potrebbe far saltare la crittografia end-to-end in casi particolari. Questa è l’ipotesi più cara ai “malpensanti”. La concorrenza di WhatsApp ha spesso criticato l’app di messaggistica per il fatto che ampie parti del codice siano offuscate e rendano complesso risalire alle operazioni che l’applicazione svolge. Esiste la possibilità che in casi estremi WhatsApp si riservi di richiedere in chiaro gli ultimi messaggi ricevuti da uno specifico utente del network? Se così fosse, l’intero castello della cifratura end-to-end cadrebbe miseramente e WhatsApp stessa ne subirebbe un evidente danno d’immagine.
Sono necessari chiarimenti e un report approfondito
A questo punto urge una spiegazione dettagliata da parte di WhatsApp e, sinceramente, rimaniamo meravigliati dal fatto che l’azienda non si sia ancora mossa in tal senso.
Il fatto è grave, gravissimo. Un malware che sfrutta una falla zero-day (poi risolta da WhatsApp) per impiantare automaticamente sullo smartphone della vittima un software capace di spiare le sue attività e sottrarre dati riservati è un accadimento sul quale dovrebbe essere fatta subito massima chiarezza.
WhatsApp richiede diversi permessi per funzionare correttamente sullo smartphone: necessita di autorizzazioni per accedere a varie funzionalità del dispositivo, come la fotocamera, i contatti, i file memorizzati sul device. Queste autorizzazioni possono evidentemente essere sfruttate dallo spyware non soltanto per estrarre le chat di WhatsApp (che oggi contengono davvero di tutto, compresi dati che dovrebbero restare segreti) ma anche per raccogliere materiale da altre app installate, compresi foto, video, documenti e chat di altri client di messaggistica (come Telegram, Signal e via discorrendo).
Per tutti questi motivi, anche al fine di chiarire il ruolo delle Agenzie di Stato italiane nella vicenda, urgono prese di posizioni trasparenti e rispettose di utenti e cittadini.
/https://www.ilsoftware.it/app/uploads/2025/02/131.jpg "WhatsApp: ora creare le Community diventa semplicissimo")
/https://www.ilsoftware.it/app/uploads/2025/02/1-4.jpg "WhatsApp consentirà di pagare la bolletta in app, ecco dove")
/https://www.ilsoftware.it/app/uploads/2025/02/89.jpg "WhatsApp: ora si possono modificare le didascalie degli album condivisi")
/https://www.ilsoftware.it/app/uploads/2025/02/collegamento-android-con-windows.jpg "Stanchi di Collegamento al telefono e KDE Connect? Ecco l'alternativa aperta Sefirah")