La nota azienda israeliana di spyware commerciale NSO Group è stata recentemente al centro dell’attenzione per aver offerto un metodo per estrarre dati sensibili da telefoni cellulari in modo mai visto prima, secondo quanto rivelato dagli esperti. Un nuovo rapporto di Enea, specialisti in sicurezza delle telecomunicazioni, ha scoperto il metodo mentre esaminava i documenti presentati durante il processo tra WhatsApp e NSO Group.
Nel tardo 2019, WhatsApp ha inserito come prova una copia di un contratto tra un rivenditore di NSO Group e il regolatore delle telecomunicazioni del Ghana. Tra le funzionalità offerte da NSO Group c’era quella denominata “MMS Fingerprint“.
Questa funzionalità sfruttava una vulnerabilità sia nei dispositivi Android che iOS (e apparentemente anche nei dispositivi BlackBerry) per estrarre alcuni dati sensibili dal dispositivo. Gli attaccanti potevano creare un MMS maligno unico, che la vittima non aveva nemmeno bisogno di aprire o con cui interagire in altro modo. Questo messaggio avrebbe attivato sul dispositivo la restituzione di due pezzi unici di informazioni: l’MMS UserAgent e l’x-wap-profile.
Il primo è una stringa che identifica solitamente il sistema operativo e il dispositivo della vittima, mentre il secondo punta a un UAProf (User Agent Profile) che descrive le capacità del dispositivo bersaglio. Queste informazioni potrebbero essere utilizzate per profilare la vittima e prepararsi per attacchi più concreti.
Nonostante la possibilità di rubare dati senza interazione con la vittima possa sembrare inquietante, le vittime non sono completamente indifese. Gli abbonati mobili potrebbero disabilitare il recupero automatico degli MMS sul loro dispositivo, impedendo ai messaggi maligni di raggiungere il loro dispositivo. Inoltre, la maggior parte degli operatori mobili oggi filtra questo tipo di messaggi prima che vengano inviati.
Queste rivelazioni mettono in luce non solo le capacità tecniche avanzate degli attori di minacce come NSO Group ma anche l’importanza per gli utenti e le aziende di adottare pratiche di sicurezza proattive per proteggere i propri dati e dispositivi.
