Connect with us

Notizie

Notizie allarmanti su WhatsApp “zero-day exploit”: cosa c’è da sapere

Condividi questo contenuto

Tempo di lettura: 4 minuti. Nell’ultimo giorno o due, il nostro feed di notizie è stato ronzante di avvertimenti su WhatsApp.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Abbiamo visto molti rapporti che si riferivano a due tweet che sostenevano l’esistenza di due falle di sicurezza zero-day in WhatsApp, indicando i loro ID di bug come CVE-2022-36934 e CVE-2022-27492. Un articolo, apparentemente basato su quei tweet, insisteva senza fiato non solo sul fatto che si trattava di bug zero-day, ma anche che erano stati scoperti internamente e risolti dallo stesso team di WhatsApp. Per definizione, tuttavia, uno zero-day si riferisce a un bug che gli aggressori hanno scoperto e capito come sfruttare prima che fosse disponibile una patch, quindi ci sono stati zero giorni in cui anche il sysadmin più proattivo e con l’atteggiamento più progressista nei confronti delle patch avrebbe potuto anticipare il gioco.

In altre parole, l’idea di dichiarare che un bug è un giorno zero (spesso scritto con una sola cifra, come 0-day) è quella di persuadere le persone che la patch è importante come non mai, e forse anche di più, perché l’installazione della patch è più una questione di mettersi al passo con i truffatori che di stare davanti a loro. Se gli sviluppatori scoprono da soli un bug e lo correggono di propria iniziativa nel loro prossimo aggiornamento, non si tratta di uno zero-day, perché i buoni sono arrivati prima. Allo stesso modo, se i ricercatori di sicurezza seguono il principio della divulgazione responsabile, in cui rivelano i dettagli di un nuovo bug a un fornitore, ma accettano di non pubblicarli per un periodo di tempo concordato per dare al fornitore il tempo di creare una patch, non si tratta di uno zero-day.
Stabilire un termine di divulgazione responsabile per la pubblicazione di un documento sul bug serve a due scopi: il ricercatore può prendersi il merito del lavoro svolto, mentre al fornitore viene impedito di nascondere il problema sotto il tappeto, sapendo che alla fine verrà comunque rivelato.

Quindi, qual è la verità?

WhatsApp è attualmente sotto attacco attivo da parte di criminali informatici? È un pericolo chiaro e attuale?

Quanto dovrebbero essere preoccupati gli utenti di WhatsApp?

In caso di dubbio, consultare l’avviso

Per quanto ne sappiamo, le notizie che circolano al momento si basano su informazioni tratte direttamente dalla pagina dell’avviso di sicurezza 2022 di WhatsApp, che dice [2022-09-27T16:17:00Z]:

Avvisi di sicurezza di WhatsApp
Aggiornamenti del 2022
Aggiornamento di settembre

CVE-2022-36934

Un integer overflow in WhatsApp per Android prima della v2.22.16.12, Business per Android prima della v2.22.16.12, iOS prima della v2.22.16.12, Business per iOS prima della v2.22.16.12 potrebbe portare all'esecuzione di codice remoto in una videochiamata stabilita.

CVE-2022-27492

Un integer underflow in WhatsApp per Android prima della versione 2.22.16.2 e WhatsApp per iOS prima della versione 2.22.15.9 potrebbe causare l'esecuzione di codice remoto quando si riceve un file video artigianale.

Entrambi i bug sono elencati come potenzialmente in grado di portare all’esecuzione di codice da remoto, o RCE in breve, il che significa che i dati intrappolati potrebbero costringere l’applicazione a bloccarsi e che un attaccante esperto potrebbe essere in grado di truccare le circostanze del crash per innescare un comportamento non autorizzato lungo il percorso. In genere, quando si tratta di un RCE, questo “comportamento non autorizzato” significa eseguire codice di programma dannoso, o malware, per sovvertire e prendere una qualche forma di controllo remoto sul dispositivo. Dalle descrizioni, presumiamo che il primo bug richieda una chiamata connessa prima di essere attivato, mentre il secondo bug sembra che possa essere attivato in altri momenti, ad esempio durante la lettura di un messaggio o la visualizzazione di un file già scaricato sul dispositivo. Le applicazioni mobili sono generalmente regolate in modo molto più rigoroso dal sistema operativo rispetto alle applicazioni su computer portatili o server, dove i file locali sono generalmente accessibili a più programmi e comunemente condivisi tra loro. Questo, a sua volta, significa che la compromissione di una singola app mobile rappresenta generalmente un rischio minore rispetto a un attacco malware simile sul vostro computer portatile. Sul vostro portatile, ad esempio, il vostro lettore di podcast può probabilmente sbirciare nei vostri documenti per impostazione predefinita, anche se nessuno di essi è un file audio, e il vostro programma di fotografia può probabilmente rovistare nella vostra cartella di fogli di calcolo (e viceversa). Sui dispositivi mobili, invece, la separazione tra le applicazioni è molto più rigida, per cui, almeno per impostazione predefinita, il lettore podcast non può vedere i documenti, il programma di foglio elettronico non può sfogliare le foto e l’applicazione fotografica non può vedere i file audio o i documenti. Tuttavia, anche l’accesso a una singola app “sandboxata” e ai suoi dati può essere tutto ciò che un aggressore desidera o di cui ha bisogno, soprattutto se l’app in questione è quella che utilizzate per comunicare in modo sicuro con i vostri colleghi, amici e familiari, come WhatsApp. Un malware WhatsApp in grado di leggere i vostri messaggi passati, o anche solo l’elenco dei vostri contatti, e nient’altro, potrebbe fornire un tesoro di dati per i criminali online, soprattutto se il loro obiettivo è quello di saperne di più su di voi e sulla vostra attività per vendere queste informazioni interne ad altri truffatori sul dark web. Un bug del software che apre falle nella sicurezza informatica è noto come vulnerabilità, e qualsiasi attacco che sfrutti concretamente una specifica vulnerabilità è noto come exploit. E qualsiasi vulnerabilità nota di WhatsApp che potrebbe essere sfruttabile a fini di spionaggio vale la pena di essere patchata il prima possibile, anche se nessuno riuscirà mai a trovare una soluzione.

(Non tutte le vulnerabilità finiscono per essere sfruttabili per l’RCE: alcuni bug si rivelano sufficientemente capricciosi che, anche se possono essere attivati in modo affidabile per provocare un crash o un denial of service, non possono essere domati abbastanza bene da prendere il controllo completo dell’applicazione bloccata).

Cosa fare?

La buona notizia è che i bug qui elencati sono stati apparentemente corretti quasi un mese fa, anche se le ultime notizie che abbiamo visto indicano che queste falle rappresentano un pericolo chiaro e attuale per gli utenti di WhatsApp. Come sottolinea la pagina di consulenza di WhatsApp, queste due falle, cosiddette “zero-day”, sono state patchate in tutte le versioni dell’app, sia per Android che per iOS, con numero di versione 2.22.16.12 o successivo. Secondo l’App Store di Apple, la versione attuale di WhatsApp per iOS (sia Messenger che Business) è già la 2.22.19.78, con cinque aggiornamenti successivi rilasciati dalla prima correzione dei bug sopra citati, che risale già a un mese fa. Su Google Play, WhatsApp è già arrivato alla versione 2.22.19.76 (le versioni non sempre si allineano esattamente tra i diversi sistemi operativi, ma spesso sono vicine). In altre parole, se avete impostato il vostro dispositivo per l’aggiornamento automatico, dovreste essere già stati patchati contro queste minacce di WhatsApp da circa un mese. Per controllare le app installate, la data dell’ultimo aggiornamento e i dettagli della loro versione, aprite l’app App Store su iOS o Play Store su Android. Toccate l’icona del vostro account per accedere all’elenco delle app installate sul vostro dispositivo, con i dettagli dell’ultimo aggiornamento e il numero della versione corrente.

Tradotto da Sophos

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

Ridotta la pena per Kiwipedo: ha tentato di comprare una ragazza sul dark web

Condividi questo contenuto

Tempo di lettura: 3 minuti. Aaron Huttonha cercato di importare una ragazza in Nuova Zelanda

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Un uomo di Auckland, incarcerato dopo aver tentato di comprare una bambina di meno di 7 anni per abusarne sessualmente, si è visto ridurre la pena dietro le sbarre a causa di fatti contestati. Aaron Joseph Hutton si nascondeva dietro il nome di profilo “Kiwipedo” sul segreto dark web, dove scambiava immagini di bambini abusati sessualmente e poi cercava di comprare una bambina. Il tribunale ha sentito che Hutton continua a sostenere di aver “cercato di fregare le autorità”. Mercoledì è comparso presso il tribunale distrettuale di Auckland dove il giudice David Sharp lo ha condannato nuovamente a tre anni e due mesi di reclusione. Quando è stato catturato, Hutton pensava di parlare con altri pedofili, ma in realtà stava parlando con agenti del Dipartimento degli Affari Interni (DIA) sotto copertura. È stato inizialmente condannato dal giudice Allan Roberts, nel gennaio 2021, a cinque anni di reclusione con l’accusa di aver tentato di trattare con persone di età inferiore ai 18 anni a scopo di sfruttamento sessuale e di possedere immagini discutibili. In precedenza Hutton aveva dichiarato a un agente di libertà vigilata e a uno psicologo di aver intrapreso le comunicazioni solo perché sapeva di parlare con le forze dell’ordine e aveva deciso di “giocare al gatto e al topo”. Mercoledì, il procuratore Kristy Li ha presentato la posizione dell’accusa che è rimasta invariata e una lettera scritta da Hutton ha minimizzato il reato. In una lettera di scuse scritte a mano, Hutton ha affermato che il possesso delle immagini è stato accidentale e che voleva provocare le autorità. Li ha detto che le immagini non erano di quelle in cui ci si imbatte per caso.

Michelle Clark, che agisce per conto di Hutton, ha dichiarato che egli ha interrotto ogni comunicazione con l’agente sotto copertura quando è stato organizzato l’incontro. Clark ha affermato che il giudice Roberts avrebbe dovuto fissare un punto di partenza più basso e che Hutton ha fatto “passi significativi” nella sua riabilitazione. Il giudice Sharp ha detto che il reato era depravato e che ci sono vittime reali che ne subiscono gli effetti. “Ogni immagine ritrae uno o più bambini che sono oggetto di reati sessuali e il danno che viene loro arrecato non può essere trascurato”. Le modifiche urgenti alla legge sul registro dei minori autori di reati sessuali significano che centinaia di condannati sono di nuovo in lista. Ma un sostenitore dei diritti della giustizia afferma che questo non significa che i bambini siano più al sicuro. Secondo i documenti del tribunale rilasciati a Stuff, la DIA riteneva che Hutton avesse usato il dark web per parlare con altri pedofili e avesse tentato di avere accesso a una ragazza.

Dalle conversazioni di Hutton con altri utenti del dark web – agenti segreti della DIA – è emerso che stava cercando qualcuno che potesse “trafficare bambini a livello internazionale” ed era disposto a pagare fino a 15.000 dollari. Ha postato che “non stava perdendo tempo” ed era “serio!!!”. Hutton e un agente si sono poi scambiati una serie di messaggi nelle sei settimane successive, con Hutton che chiedeva come stesse andando la “ricerca” dell’agente e offriva aiuto. Nell’aprile 2015, Hutton ha iniziato a parlare con un altro agente che ha detto di avere una bambina di 7 anni. Hutton ha descritto il noto criminale sessuale austriaco Josef Fritzl come il suo “eroe”. Fritzl ha tenuto la propria figlia come schiava sessuale per 24 anni in una cantina nel loro giardino e ha generato sette figli con lei. Era stato organizzato un incontro che avrebbe permesso a Hutton di commettere atti sessuali sulla giovane. Quando gli agenti hanno perquisito il lavoro e la casa di Hutton, hanno trovato tracce della sua identità nel dark web e hanno trovato un disco rigido con più di 400 immagini di bambini abusati sessualmente.

Prosegui la lettura

Notizie

Dopo la pedofilia, stretta sulla pornografia: raffica di sospensioni su Twitter

Condividi questo contenuto

Tempo di lettura: 2 minuti. 2 obiettivo su tre raggiunto per compiacere gli investitori mentre Facebook continua a restare impunita

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Elon Musk, dopo aver mantenuto l’impegno nella lotta ai profili che condividono contenuti con abusi sessuali sui minori, ha proceduto a sospendere gli account che condividono immagini pornografiche legali. Ancora una volta la stretta arriva dalla struttura risicata in termini di maestranze della Twitter Inc, dando uno schiaffo morale a tutti coloro che protestavano sulla mancanza di personale per far fronte alle battaglie su cui lo stesso Musk ci ha messo la faccia dall’inizio.

Quello che viene contestato ai creators non è il fatto che si trovino abusivamente sulla piattaforma, ma il non aver indicato il proprio profilo come “materiale sensibile” portando alla sospensione dell’account, che si risolverà appunto se verrà portata questa modifica. Non a caso molti altri profili invece sono già attivi o non sono stati toccati dall’ennesima stretta sul trema perché già si erano identificati come utenti che pubblicano materiale per adulti. Siamo arrivati alla resa dei conti con il mercato pubblicitario nel quale praticamente verrà fuori se ci sia o meno una regia nel boicottare la piattaforma, essendo venuti meno i presupposti dell’associazione fortuita tra i noti brand aziendali ed immagini pornografiche.

Resta in sospeso invece la questione dei bot , su cui Musk ha già avviato una forte stretta lanciando un sondaggio pubblico dove ha chiesto se i profili truffa sono calati nell’ultimo periodo, ottenendo una risposta positiva da parte del pubblico sulla base dei benefici già visibili. Con meno contenuti pedopornografici, con maggiore distinzione tra la piattaforma per aperta ai contenuti per adulti e quella puramente social media, con la proiezione di ridurre i bot che secondo una stima rappresentano il 30% del traffico della piattaforma, Twitter in meno di un mese inizia ad essere un posto migliore senza la forza dipendente di allora, colpevole di aver fatto poco nulla sul tema degli abusi sui minori e di essere stata molto disponibile ad autocensurarsi sulle pressioni esercitate dalla voce politica del Partito Democratico statunitense.

Prosegui la lettura

Notizie

In the box: il più grande mercato di malware per smartphone

Condividi questo contenuto

Tempo di lettura: 2 minuti. Nella Darknet e minaccia gli utenti di tutto il mondo

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Ricercatori di cybersicurezza hanno fatto luce su un mercato darknet chiamato InTheBox, progettato per soddisfare specificamente gli operatori di malware mobile. L’attore dietro la vetrina criminale, che si ritiene sia disponibile almeno da gennaio 2020, ha offerto oltre 400 iniezioni web personalizzate raggruppate per area geografica che possono essere acquistate da altri avversari che desiderano sferrare i propri attacchi. “L’automazione consente ad altri malintenzionati di creare ordini per ricevere le web injection più aggiornate da implementare ulteriormente nel malware mobile”, ha dichiarato Resecurity. “InTheBox può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato a fornire web inject di alta qualità per i più diffusi tipi di malware mobile”. I Web Injects sono pacchetti utilizzati nel malware finanziario che sfruttano il vettore di attacco adversary-in-the-browser (AitB) per servire codice HTML o JavaScript dannoso sotto forma di schermata in sovrimpressione quando le vittime avviano un’applicazione bancaria, crittografica, di pagamento, di e-commerce, di posta elettronica o di social media. Queste pagine tipicamente assomigliano a una pagina web di login di una banca legittima e spingono gli utenti inconsapevoli a inserire dati riservati come credenziali, dati della carta di pagamento, numeri di previdenza sociale (SSN), valore di verifica della carta (CVV) che vengono poi utilizzati per compromettere il conto bancario e condurre frodi.

InTheBox è accessibile attraverso la rete di anonimato Tor e pubblicizza una varietà di modelli di web inject in vendita, con l’elenco accessibile solo dopo che un cliente è stato controllato dall’amministratore e l’account è stato attivato. Le iniezioni web possono essere acquistate per 100 dollari al mese o come livello “unlim” che consente all’acquirente di generare un numero illimitato di iniezioni durante il periodo di abbonamento. I costi per il piano unlim variano da 2.475 a 5.888 dollari, a seconda dei trojan supportati. Alcuni dei trojan bancari Android supportati dal servizio sono Alien, Cerberus, ERMAC (e il suo successore MetaDroid), Hydra e Octo, ha dichiarato l’azienda californiana di cybersicurezza.

“La maggior parte delle iniezioni ad alta richiesta è legata ai servizi di pagamento, tra cui il digital banking e gli scambiatori di criptovalute”, hanno dichiarato i ricercatori. “Nel corso del mese di novembre 2022, l’attore ha predisposto un aggiornamento significativo di quasi 144 injects, migliorandone il design visivo”. Lo sviluppo arriva mentre Cyble ha rivelato una nuova operazione di malware-as-a-service (MaaS) denominata DuckLogs, commercializzata a 69,99 dollari per un accesso a vita, che offre agli attori delle minacce la possibilità di raccogliere informazioni sensibili, dirottare le transazioni di criptovaluta e comandare in remoto le macchine.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 giorno fa

L’APT37 nordcoreano lancia la backdoor Dolphin in Corea del Sud

Tempo di lettura: 2 minuti. Condividi questo contenutoIl 30 novembre, i ricercatori di ESET hanno scoperto Dolphin, una sofisticata backdoor...

Notizie4 giorni fa

Killnet gongola per gli attacchi DDoS che hanno colpito Starlink e la Casa Bianca

Tempo di lettura: 2 minuti. Starlink, di proprietà di Elon Musk, WhiteHouse.gov e il Principe di Galles sono stati presi...

Notizie4 giorni fa

CIA offre lavoro ai russi scontenti

Tempo di lettura: 5 minuti. L'invito aperto della Central Intelligence Agency (CIA) ai cittadini del Cremlino a unirsi a lei...

Notizie5 giorni fa

Il sito web del Vaticano non funziona per un sospetto attacco hacker

Tempo di lettura: < 1 minuto. Non c'è stata nessuna rivendicazione, nemmeno dagli "sprovveduti" di Killnet

Notizie1 settimana fa

La guerra d’informazione della Cina contro Taiwan

Tempo di lettura: 2 minuti. Condividi questo contenutoOltre all’aggressivo pattugliamento militare nello Stretto di Taiwan, Pechino sta facendo un passo...

Notizie1 settimana fa

L’Azerbaigian ha subito cyberattacchi armeni

Tempo di lettura: < 1 minuto. "La velocità di questi attacchi DDoS è aumentata da 40 Gbps a 137 Gbps...

Notizie2 settimane fa

APT iraniano pubblica filmato dell’attacco a Gerusalemme. Compromessa agenzia di sicurezza

Tempo di lettura: < 1 minuto. I funzionari confermano che il filmato è stato preso dalla telecamera di sorveglianza dell'agenzia,...

Inchieste2 settimane fa

I falchi di Vladimir Putin su Telegram

Tempo di lettura: 7 minuti. Andrey Pertsev racconta come Telegram sia diventato la principale piattaforma di informazione per i falchi...

Notizie2 settimane fa

KillNet affonda il Parlamento Europeo con un attacco DDOS e non è un attacco sofisticato

Tempo di lettura: < 1 minuto. Una vecchia conoscenza di Matrice Digitale torna alla carica della più importante istituzione europea...

Notizie2 settimane fa

Gli hacktivisti DDoS di Killnet prendono di mira la Famiglia Reale e altri siti web

Tempo di lettura: 3 minuti. Gli hacktivisti allineati alla Russia hanno preso di mira diversi siti web del Regno Unito,...

Truffe recenti

Truffe online4 settimane fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Truffe online4 settimane fa

Truffa del Trust Wallet PayPal

Tempo di lettura: 2 minuti. Scoperta da Trend Micro, la truffa che sfrutta il brand di PayPal, può essere così...

Truffe online1 mese fa

Sospetto arrestato in relazione a una frode di investimento da un milione di euro

Tempo di lettura: 2 minuti. L'azione ha portato l'Europol a rilasciare consigli in tal senso.

Truffe online2 mesi fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online2 mesi fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online2 mesi fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online2 mesi fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 mesi fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 mesi fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie3 mesi fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Tendenza