Η Επίθεση Spyware στο WhatsApp Αποκαλύπτει τα Όρια της Ασφάλειας των Εφαρμογών

Ιταλική Εταιρεία Παρακολούθησης Χρησιμοποίησε Ψεύτικη Εφαρμογή WhatsApp για να Εγκαταστήσει Spyware

Το WhatsApp αποκάλυψε ότι μια ιταλική εταιρεία παρακολούθησης ονομαζόμενη ASIGINT, θυγατρική μιας εταιρείας με την επωνυμία SIO, εξαπάτησε περίπου 200 χρήστες ώστε να κατεβάσουν μια παραποιημένη έκδοση της εφαρμογής ανταλλαγής μηνυμάτων φορτωμένη με λογισμικό κατασκοπείας. Τα θύματα βρίσκονταν κυρίως στην Ιταλία και η εκστρατεία χαρακτηρίστηκε ως εξαιρετικά στοχευμένη, βασιζόμενη σε κοινωνική μηχανική και όχι σε τεχνικά κενά ασφαλείας του ίδιου του WhatsApp.

Μόλις το WhatsApp εντόπισε τους επηρεασμένους λογαριασμούς, η εταιρεία αποσύνδεσε τους εν λόγω χρήστες από την πλατφόρμα και τους κάλεσε να εντοπίσουν και να αφαιρέσουν την παραποιημένη εφαρμογή από τις συσκευές τους. Η SIO έχει δηλώσει δημοσίως ότι συνεργάζεται με υπηρεσίες επιβολής του νόμου και πληροφοριών, αν και η αποκάλυψη του WhatsApp δεν επικύρωσε ούτε υποστήριξε αυτούς τους ισχυρισμούς.

Αυτή είναι η δεύτερη φορά μέσα σε 15 μήνες που η Meta, η μητρική εταιρεία του WhatsApp, αντιμετωπίζει δημοσίως δραστηριότητα spyware συνδεδεμένη με την Ιταλία. Το πρότυπο αυτό υποδηλώνει αυξανόμενη εστίαση σε εμπορικά εργαλεία παρακολούθησης που δραστηριοποιούνται στην περιοχή.

Πώς Φαίνεται στην Πράξη η Κοινωνική Μηχανική

Ο όρος «κοινωνική μηχανική» συχνά αντιμετωπίζεται ως τεχνική ορολογία, ωστόσο η έννοια είναι απλή: αντί να παραβιάσουν ένα σύστημα, οι επιτιθέμενοι χειραγωγούν τους ανθρώπους ώστε να τους επιτρέψουν οι ίδιοι την πρόσβαση.

Στη συγκεκριμένη περίπτωση, τα θύματα εξαπατήθηκαν και κατέβασαν μια εφαρμογή που έμοιαζε με το WhatsApp αλλά δεν ήταν. Η εξαπάτηση πιθανότατα περιελάμβανε κάποιον συνδυασμό ψεύτικων συνδέσμων λήψης, παραπλανητικών οδηγιών ή υποκατάστασης μιας αξιόπιστης πηγής. Δεν χρειάστηκε κανένα κενό ασφαλείας στον ίδιο τον κώδικα του WhatsApp. Η επίθεση λειτούργησε επειδή οι άνθρωποι εμπιστεύτηκαν αυτό που τους παρουσιάστηκε.

Αυτή είναι μια ουσιαστική διάκριση. Όταν μια εταιρεία διορθώνει ένα τεχνικό ελάττωμα λογισμικού, εξαλείφει ένα τεχνικό σημείο εισόδου. Οι επιθέσεις κοινωνικής μηχανικής δεν βασίζονται σε αυτά τα ελαττώματα. Βασίζονται στην ανθρώπινη συμπεριφορά, και συγκεκριμένα στην τάση να εμπιστευόμαστε οικείες διεπαφές και να ακολουθούμε οδηγίες από φαινομενικές αρχές.

Καμία ενημέρωση εφαρμογής, όσο ολοκληρωμένη κι αν είναι, δεν μπορεί να καλύψει πλήρως αυτό το κενό.

Ένα Επαναλαμβανόμενο Πρόβλημα με τα Εμπορικά Spyware

Τα εμπορικά εργαλεία παρακολούθησης που πωλούνται σε κυβερνήσεις και υπηρεσίες επιβολής του νόμου αποτελούν αντικείμενο συνεχούς ανησυχίας μεταξύ ερευνητών ιδιωτικότητας και οργανώσεων για τις πολιτικές ελευθερίες. Οι εταιρείες που κατασκευάζουν αυτά τα εργαλεία ισχυρίζονται συχνά ότι εξυπηρετούν νόμιμους ερευνητικούς σκοπούς. Οι επικριτές επισημαίνουν ότι τα ίδια εργαλεία μπορούν να χρησιμοποιηθούν, και έχουν χρησιμοποιηθεί, κατά δημοσιογράφων, ακτιβιστών, δικηγόρων και απλών πολιτών που δεν έχουν καμία σχέση με εγκληματική δραστηριότητα.

Η ASIGINT και η SIO ταιριάζουν σε ένα οικείο προφίλ σε αυτόν τον χώρο. Η ύπαρξη μιας ψεύτικης εφαρμογής WhatsApp σχεδιασμένης να εγκαθιστά αθόρυβα λογισμικό κατασκοπείας εγείρει ερωτήματα σχετικά με την εποπτεία, τα κριτήρια στόχευσης και το ποιο νομικό πλαίσιο, εάν υπάρχει, διείπε αυτή τη συγκεκριμένη εκστρατεία. Η αποκάλυψη του WhatsApp δεν απάντησε σε αυτά τα ερωτήματα, αλλά το γεγονός ότι μια μεγάλη πλατφόρμα αισθάνθηκε την ανάγκη να κατονομάσει δημοσίως την εταιρεία και να προειδοποιήσει τους επηρεασμένους χρήστες είναι αξιοσημείωτο.

Για τους περίπου 200 ανθρώπους που εμπλάκηκαν σε αυτή την εκστρατεία, η εμπειρία αποτελεί μια οξεία υπενθύμιση ότι η απειλή δεν προήλθε από κάποιο ελάττωμα σε μια εφαρμογή που επέλεξαν να χρησιμοποιήσουν. Προήλθε από το να εξαπατηθούν ώστε να χρησιμοποιήσουν μια εντελώς διαφορετική εφαρμογή.

Τι Σημαίνει Αυτό για Εσάς

Ο μέσος χρήστης του WhatsApp είναι απίθανο να αποτελεί στόχο μιας εμπορικής επιχείρησης παρακολούθησης. Αυτές οι εκστρατείες τείνουν να είναι δαπανηρές, εντάσεως εργασίας και εστιασμένες σε συγκεκριμένα άτομα. Ωστόσο, η βασική μέθοδος, δηλαδή η εξαπάτηση κάποιου ώστε να εγκαταστήσει μια κακόβουλη εφαρμογή κάνοντάς τη να φαίνεται νόμιμη, δεν είναι αποκλειστική των επιχειρήσεων παρακολούθησης σε επίπεδο κρατικών φορέων. Παραλλαγές αυτής της τακτικής εμφανίζονται σε καθημερινές εκστρατείες phishing και απάτες σε όλο τον κόσμο.

Η υπόθεση του WhatsApp αποτελεί χρήσιμη υπενθύμιση ότι η ψηφιακή ασφάλεια δεν είναι απλώς θέμα εμπιστοσύνης στις σωστές εφαρμογές. Απαιτεί επίσης προσοχή στο πού βρίσκουμε αυτές τις εφαρμογές.

Ακολουθούν πρακτικά βήματα που αξίζει να εξετάσετε:

• Κατεβάζετε εφαρμογές μόνο από επίσημες πηγές. Στο Android, αυτό σημαίνει το Google Play Store. Στο iOS, το App Store. Αποφύγετε την εγκατάσταση εφαρμογών από συνδέσμους που αποστέλλονται μέσω μηνύματος, ακόμα και από άτομα που γνωρίζετε.
• Επαληθεύετε πριν εγκαταστήσετε. Εάν κάποιος σας στείλει έναν σύνδεσμο για λήψη εφαρμογής, ελέγξτε απευθείας τον επίσημο ιστότοπο της εφαρμογής αντί να ακολουθήσετε τον σύνδεσμο.
• Διατηρείτε ενεργά τα χαρακτηριστικά ασφαλείας της συσκευής σας. Τα περισσότερα σύγχρονα λειτουργικά συστήματα επισημαίνουν εφαρμογές από μη επαληθευμένες πηγές. Δώστε προσοχή σε αυτές τις προειδοποιήσεις.
• Να είστε καχύποπτοι απέναντι στο αίσθημα επείγοντος. Οι επιθέσεις κοινωνικής μηχανικής δημιουργούν συχνά αίσθηση επείγοντος για να παρακάμψουν την προσεκτική σκέψη. Εάν μια οδηγία σας φαίνεται πιεστική, επιβραδύνετε.
• Ανταποκρίνεστε στις προειδοποιήσεις των παρόχων εφαρμογών. Το WhatsApp επικοινώνησε προληπτικά με τους επηρεασμένους χρήστες. Εάν μια υπηρεσία που χρησιμοποιείτε επικοινωνήσει μαζί σας για ένα ζήτημα ασφαλείας, πάρτε το σοβαρά και ακολουθήστε τις οδηγίες της.

Το ευρύτερο δίδαγμα από αυτό το περιστατικό είναι ότι η ασφάλεια δεν είναι κάτι που μπορεί να παρέχει πλήρως εξ ολοκλήρου μια μεμονωμένη εφαρμογή εκ μέρους σας. Η ασφάλεια απαιτεί συνήθειες, όχι μόνο εργαλεία. Το να γνωρίζετε από πού προέρχεται το λογισμικό σας και να είστε καχύποπτοι όταν κάτι δεν σας φαίνεται σωστό παραμένει μια από τις πιο αποτελεσματικές άμυνες που έχει στη διάθεσή του οποιοσδήποτε χρήστης.