John Jackson, cybersecurity researcher, ha pubblicato uno studio su due vulnerabilità riscontrate nel client desktop di Signal, un’app di messaggistica. Si tratta di CVE-2023-24069 e CVE-2023-24068. L’esperto assicura che i criminali possano sfruttare queste vulnerabilità per spiare le proprie vittime. Dato che le app desktop di Signal per tutti i sistemi operativi hanno una base di codice comune, entrambe le vulnerabilità sono presenti non solo nel client Windows, ma anche nei client MacOS e Linux. Tutte le versioni fino alla più recente (6.2.0) sono vulnerabili. Analizziamo quanto sia reale questa minaccia.
Quali sono le caratteristiche delle vulnerabilità CVE-2023-24069 e CVE-2023-24068?
La prima vulnerabilità, CVE-2023-24069, risiede in un meccanismo mal progettato che gestisce i file inviati tramite Signal. Quando si invia un file alla chat di Signal, il client desktop lo salva in una directory locale. Quando un file viene eliminato, scompare dalla directory a meno che… qualcuno non risponda o lo inoltri a un’altra chat. Inoltre, nonostante Signal sia considerato un’app di messaggistica sicura e tutte le comunicazioni siano crittografate, i file vengono memorizzati in un modo non protetto.
La vulnerabilità CVE-2023-24068 è stata identificata durante un ulteriore studio del client. È emerso che il client non dispone di un meccanismo di convalida dei file e, teoricamente, questo permette ai malintenzionati di sostituirli. In altre parole, se il file inoltrato è stato aperto sul client desktop, qualcuno può sostituirlo nella cartella locale con uno contraffatto. Di conseguenza, l’utente potrebbe distribuire il file sostituito al posto di quello che intendeva inoltrare.
Quanto sono pericolose le vulnerabilità CVE-2023-24069 e CVE-2023-24068?
È facile immaginare i rischi potenziali di CVE-2023-24069. Ad esempio, se un utente che usa la versione desktop di Signal lascia incustodito il computer, qualcuno può accedere ai file inviati tramite Signal. Lo stesso può accadere se la crittografia completa del disco è abilitata sul computer e il proprietario tende a lasciarlo incustodito (in una camera d’albergo, per esempio).
Lo sfruttamento della seconda vulnerabilità richiede un approccio più complesso. Supponiamo che una persona riceva e invii spesso file tramite l’applicazione desktop di Signal (ad esempio, un manager che invia incarichi ai suoi subordinati). Un hacker che abbia accesso al suo computer può sostituire uno dei file o per motivi di sicurezza modificare un documento esistente, ad esempio, inserendovi uno script dannoso. In questo modo, se questo file viene inoltrato, il proprietario diffonderà malware ai suoi contatti.
È importante sottolineare che lo sfruttamento di entrambe le vulnerabilità è possibile solo se il malintenzionato ha accesso al computer della vittima. Ma questa non è un’ipotesi irreale: non si tratta necessariamente di un accesso fisico. Sarebbe sufficiente infettare il computer con un malware che permetta ad un estraneo di manipolare i file.
Come rimanere al sicuro?
Rifacendosi al dizionario di vulnerabilità CVE o Common Vulnerabilities and Exposures (in italiano Vulnerabilità ed Esposizioni Comuni), gli sviluppatori di Signal dichiarano di non essere d’accordo sull’importanza di queste vulnerabilità, ed affermano che il loro prodotto non dovrebbe e non può proteggere da hacker con un livello di accesso di questo tipo al sistema della vittima. Quindi, il consiglio migliore è quello di non utilizzare la versione desktop di Signal (e le versioni desktop dei client di messaggistica in generale). Tuttavia, se per alcuni compiti il vostro lavoro lo richiede, allora vi consigliamo di:
- insegnare ai vostri dipendenti a non lasciare il proprio computer sbloccato e incustodito;
- utilizzare sempre la crittografia completa del disco sui dispositivi di lavoro;
- usare soluzioni di sicurezza in grado di rilevare e bloccare malware e tentativi di accesso non autorizzati ai vostri dati.