Атаката със шпионски софтуер в WhatsApp разкрива ограниченията на сигурността на приложенията

Италианска фирма за наблюдение използва фалшиво приложение WhatsApp за разпространение на шпионски софтуер

WhatsApp разкри, че италианска компания за наблюдение, наречена ASIGINT, дъщерно дружество на фирма с името SIO, е подмамила приблизително 200 потребители да изтеглят фалшива версия на приложението за съобщения, заредена с шпионски софтуер. Жертвите са се намирали предимно в Италия, а кампанията е описана като силно насочена, разчитаща на социално инженерство, а не на технически уязвимости в самия WhatsApp.

След като WhatsApp идентифицира засегнатите акаунти, компанията излезе от платформата с тези потребители и ги призова да намерят и премахнат измамното приложение от устройствата си. SIO публично заяви, че работи с правоприлагащи органи и разузнавателни агенции, въпреки че разкритието на WhatsApp не потвърди и не подкрепи тези твърдения.

Това е вторият път за 15 месеца, в който Meta, компанията майка на WhatsApp, публично се занимава с дейност, свързана с шпионски софтуер, обвързана с Италия. Моделът подсказва нарастващ фокус върху търговски инструменти за наблюдение, действащи в региона.

Как изглежда социалното инженерство в действителност

Терминът „социално инженерство" често се третира като технически жаргон, но концепцията е проста: вместо да проникнат в система, нападателите манипулират хората да им позволят достъп.

В случая жертвите са били измамени да изтеглят приложение, което изглеждало като WhatsApp, но не е такова. Измамата вероятно е включвала някаква комбинация от фалшиви линкове за изтегляне, подвеждащи инструкции или имитация на доверен източник. Не е била необходима никаква уязвимост в собствения код на WhatsApp. Атаката е проработила, защото хората са се доверили на това, което им е показано.

Това е съществено разграничение. Когато компания поправи софтуерен недостатък, тя елиминира технически вход. Атаките чрез социално инженерство не разчитат на такива недостатъци. Те разчитат на човешкото поведение — по-специално на склонността да се доверяваме на познати на вид интерфейси и да следваме инструкции от привидни авторитети.

Никаква актуализация на приложение, колкото и задълбочена да е, не може напълно да запълни тази празнина.

Повтарящ се проблем с търговския шпионски софтуер

Търговските инструменти за наблюдение, продавани на правителства и правоприлагащи органи, са предмет на постоянно безпокойство сред изследователите на поверителността и организациите за граждански свободи. Компаниите, които изграждат тези инструменти, често твърдят, че служат за законни следствени цели. Критиците посочват, че същите инструменти могат да бъдат и са били използвани срещу журналисти, активисти, адвокати и обикновени граждани, нямащи никаква връзка с престъпна дейност.

ASIGINT и SIO отговарят на познат профил в тази сфера. Съществуването на фалшиво приложение WhatsApp, предназначено да доставя безшумно шпионски софтуер, поражда въпроси относно надзора, критериите за насочване и правните рамки, ако има такива, регулирали тази конкретна кампания. Разкритието на WhatsApp не засегна тези въпроси, но фактът, че голяма платформа се е почувствала задължена публично да назове компанията и да предупреди засегнатите потребители, е забележителен.

За приблизително 200-те души, уловени в тази кампания, преживяването служи като остро напомняне, че заплахата не е дошла от недостатък в приложение, което са избрали да използват. Тя е дошла от това, че са били измамени да използват напълно различно приложение.

Какво означава това за вас

Средностатистическият потребител на WhatsApp е малко вероятно да бъде мишена на търговска операция за наблюдение. Тези кампании са склонни да бъдат скъпи, трудоемки и насочени към конкретни лица. Но основният метод — да се подмами някой да инсталира злонамерено приложение, като го накара да изглежда легитимно — не е присъщ единствено за наблюдение от държавно ниво. Варианти на тази тактика се появяват в ежедневни фишинг кампании и измамнически схеми по целия свят.

Случаят с WhatsApp е полезно напомняне, че цифровата безопасност не е само въпрос на доверие към правилните приложения. Тя изисква също внимание към това откъде идват тези приложения.

Ето практически стъпки, заслужаващи внимание:

• Изтегляйте приложения само от официални източници. На Android това означава Google Play Store. На iOS — App Store. Избягвайте да инсталирате приложения от линкове, изпратени чрез съобщения, дори от хора, които познавате.
• Проверявайте, преди да инсталирате. Ако някой ви изпрати линк за изтегляне на приложение, проверете директно официалния уебсайт на приложението, вместо да следвате линка.
• Поддържайте активни функциите за сигурност на устройството си. Повечето съвременни операционни системи маркират приложения от непроверени източници. Обръщайте внимание на тези предупреждения.
• Бъдете скептични към спешността. Атаките чрез социално инженерство често създават усещане за спешност, за да прекъснат внимателното мислене. Ако дадена инструкция изглежда натрапчива, забавете се.
• Реагирайте на предупреждения от доставчиците на приложения. WhatsApp проактивно се е свързал със засегнатите потребители. Ако услуга, която използвате, ви се свърже относно проблем със сигурността, приемете го сериозно и следвайте техните указания.

По-широкият урок от този инцидент е, че сигурността не е нещо, което което и да е отделно приложение може напълно да ви осигури. Оставането в безопасност изисква навици, а не само инструменти. Да знаете откъде идва вашият софтуер и да бъдете скептични, когато нещо не изглежда наред, остава една от най-ефективните защити, достъпни за всеки потребител.