Napad WhatsApp špijunskim softverom otkriva granice sigurnosti aplikacija

Talijanska nadzorna tvrtka koristila lažnu WhatsApp aplikaciju za širenje špijunskog softvera

WhatsApp je objavio da je talijanska tvrtka za nadzor pod nazivom ASIGINT, podružnica tvrtke SIO, prevarila oko 200 korisnika da preuzmu lažnu verziju aplikacije za razmjenu poruka napunjenu špijunskim softverom. Žrtve su se uglavnom nalazile u Italiji, a kampanja je opisana kao visoko ciljana, oslanjajući se na socijalni inženjering umjesto na tehničke ranjivosti samog WhatsAppa.

Nakon što je WhatsApp identificirao zahvaćene račune, tvrtka je te korisnike odjavila s platforme i pozvala ih da pronađu i uklone lažnu aplikaciju sa svojih uređaja. SIO je javno izjavio da surađuje s tijelima za provedbu zakona i obavještajnim agencijama, iako WhatsAppovo priopćenje nije potvrdilo niti podržalo te tvrdnje.

Ovo je drugi put u 15 mjeseci da je Meta, matična tvrtka WhatsAppa, javno progovorila o aktivnostima špijunskog softvera povezanima s Italijom. Taj obrazac upućuje na rastuću usredotočenost na komercijalne alate za nadzor koji djeluju u toj regiji.

Kako socijalni inženjering zapravo izgleda

Pojam "socijalni inženjering" često se tretira kao tehnički žargon, ali koncept je jednostavan: umjesto da provale u sustav, napadači manipuliraju ljudima kako bi ih naveli da ih sami puste unutra.

U ovom slučaju, žrtve su bile prevarene da preuzmu aplikaciju koja je izgledala kao WhatsApp, ali to nije bila. Obmana je vjerojatno uključivala neku kombinaciju lažnih poveznica za preuzimanje, zavaravajućih uputa ili lažnog predstavljanja pouzdanog izvora. Nije bila potrebna nikakva ranjivost u samom kodu WhatsAppa. Napad je uspio jer su ljudi vjerovali onome što im je prikazano.

Ovo je važna distinkcija. Kada tvrtka zakrpi softversku grešku, eliminira tehničku ulaznu točku. Napadi socijalnim inženjeringom ne oslanjaju se na te greške. Oslanjaju se na ljudsko ponašanje, konkretno na sklonost da se vjeruje sučeljima koja izgledaju poznato i da se slijede upute naizgled autoritativnih izvora.

Nijedna nadogradnja aplikacije, bez obzira na to koliko je temeljita, ne može u potpunosti zatvoriti tu rupu.

Ponavljajući problem s komercijalnim špijunskim softverom

Komercijalni alati za nadzor koji se prodaju vladama i tijelima za provedbu zakona dugotrajna su tema zabrinutosti istraživača privatnosti i organizacija za građanske slobode. Tvrtke koje razvijaju te alate često tvrde da služe legitimnim istražnim svrhama. Kritičari ističu da se isti alati mogu, i jesu bili, koristiti protiv novinara, aktivista, odvjetnika i običnih građana koji nemaju nikakve veze s kriminalnom aktivnošću.

ASIGINT i SIO uklapaju se u poznati profil u tom prostoru. Postojanje lažne WhatsApp aplikacije osmišljene za tiho isporučivanje špijunskog softvera pokreće pitanja o nadzoru, kriterijima ciljanja i tome koji pravni okviri, ako postoje, su upravljali ovom konkretnom kampanjom. WhatsAppovo priopćenje nije odgovorilo na ta pitanja, ali činjenica da se velika platforma osjetila prisiljenima javno imenovati tvrtku i upozoriti zahvaćene korisnike je značajna.

Za otprilike 200 osoba zahvaćenih ovom kampanjom, to iskustvo služi kao oštar podsjetnik da prijetnja nije došla od greške u aplikaciji koju su odabrali koristiti. Došla je od toga što su bile prevarene da koriste sasvim drugu aplikaciju.

Što ovo znači za vas

Prosječan korisnik WhatsAppa vjerojatno neće biti meta komercijalne operacije nadzora. Takve kampanje obično su skupe, zahtijevaju puno rada i usmjerene su na određene pojedince. No temeljni metod, navođenje nekoga da instalira zlonamjernu aplikaciju čineći je legitimnom na izgled, nije ekskluzivan za nadzor na razini nacionalnih država. Varijante ove taktike pojavljuju se u svakodnevnim phishing kampanjama i prijevarama diljem svijeta.

Slučaj WhatsAppa koristan je podsjetnik da digitalna sigurnost nije samo pitanje povjerenja u prave aplikacije. Zahtijeva i obraćanje pozornosti na to odakle te aplikacije dolaze.

Evo praktičnih koraka koje vrijedi razmotriti:

• Preuzimajte aplikacije isključivo iz službenih izvora. Na Androidu, to znači Google Play Store. Na iOS-u, App Store. Izbjegavajte instaliranje aplikacija s poveznica poslanih putem poruka, čak i od osoba koje poznajete.
• Provjerite prije instalacije. Ako vam netko pošalje poveznicu za preuzimanje aplikacije, izravno provjerite službenu web stranicu te aplikacije umjesto da slijedite poslanu poveznicu.
• Održavajte aktivnim sigurnosne značajke svog uređaja. Većina modernih operativnih sustava označava aplikacije iz neprovjerenih izvora. Obratite pozornost na ta upozorenja.
• Budite skeptični prema hitnosti. Napadi socijalnim inženjeringom često stvaraju osjećaj hitnosti kako bi spriječili pažljivo razmišljanje. Ako se neka uputa čini pritisnutom, usporite.
• Reagirajte na upozorenja davatelja aplikacija. WhatsApp je proaktivno kontaktirao zahvaćene korisnike. Ako vas usluga koju koristite kontaktira zbog sigurnosnog problema, shvatite to ozbiljno i slijedite njihove upute.

Šira lekcija ovog incidenta jest da sigurnost nije nešto što vam može u potpunosti osigurati bilo koja pojedinačna aplikacija. Ostati siguran zahtijeva navike, ne samo alate. Znanje o tome odakle vaš softver dolazi i skeptičnost kada nešto ne izgleda ispravno, ostaje jedna od najučinkovitijih obrana dostupnih svakom korisniku.