Tutta la verità su WhatsApp Image Scam: conto svuotato con una foto?

Tanti articoli cominciano a dipingere WhatsApp come un vettore sempre più privilegiato per attacchi mirati contro gli ignari utenti. Diverse testate italiane stanno battendo in queste ore una notizia che, se confermata, sarebbe agghiacciante: un cittadino indiano avrebbe perso più di 2.200 euro dopo aver aperto una foto ricevuta su WhatsApp da un numero sconosciuto.

Nell’immagine in questione sarebbe nascosto un malware steganografico, capace di attivarsi all’apertura del file, senza ulteriori interazioni da parte dell’utente. Una volta in esecuzione, il codice malevolo raccoglierebbe credenziali bancarie, OTP, informazioni riservate e password, aprendo la strada a transazioni fraudolente da parte dei criminali informatici.

Se fosse vero, ci troveremmo dinanzi a una situazione drammatica. Pensate a cosa potrebbe succedere se un malintenzionato potesse, a distanza, confezionare un’immagine malevola, inviarla a un contatto WhatsApp e utilizzarla per eseguire codice arbitrario sul dispositivo mobile dell’utente.

Allo stato attuale, invece, non esiste alcuna conferma – né da parte di WhatsApp/Meta né da ricercatori indipendenti né dalle principali aziende che si occupano di sicurezza informatica – circa l’esistenza di un simile (enorme) problema di sicurezza. La notizia arrivata dall’India e ripubblicata senza alcuna verifica appena quindi come l’ennesima bufala congegnata per “fare rumore” e “acchiappare” qualche clic in più.

WhatsApp può davvero eseguire codice arbitrario aprendo una foto?

Una foto è un file, una sequenza strutturata di byte che rappresenta dati. Ogni file è memorizzato su disco (o memoria flash) secondo un formato specifico che definisce come interpretare i dati (immagine, testo, eseguibile, audio,…), indica dove si trovano le informazioni di base (dimensione, risoluzione, compressione,…) e stabilisce come accedervi.

La steganografia è una pratica che esiste dalla “notte dei tempi” in ambito informatico e consiste nel nascondere informazioni all’interno di altri dati, generalmente immagini, video o file audio. Non rende un file né eseguibile né “attivabile”: serve solo a nascondere dati.

In condizioni normali, NON è possibile eseguire codice a partire da una foto ricevuta su WhatsApp. A meno che:

• L’app che lo apre (WhatsApp, o un visualizzatore di immagini, ad esempio quello di sistema) non contenga una vulnerabilità che permetta l’esecuzione di codice arbitrario tramite un’immagine malformata (i famosi errori di buffer overflow).
• Il file non sia opportunamente camuffato, ad esempio rinominando un file .apk (app Android) in .jpg, ma questo richiede l’intervento dell’utente per installare l’applicazione. E comunque difficilmente il file sarebbe presentato come l’anteprima di un’immagine (anche qui al netto di una vulnerabilità insita in WhatsApp).
• Non si usi un exploit zero-day, ovvero una vulnerabilità sconosciuta, che permette l’esecuzione del codice contenuto nei dati binari dell’immagine.

Compressione WhatsApp e rischi residui: una riflessione tecnica

Molti utenti ignorano che WhatsApp applica una compressione automatica alle foto, riducendone la qualità e rimuovendo metadati come i dati EXIF, tra cui timestamp, GPS e informazioni sul dispositivo.

Questo processo ha un effetto positivo in termini di sicurezza: danneggia o cancella eventuali dati steganografici, specialmente quelli codificati nei bit meno significativi (LSB, least significant byte). Pertanto, è quasi impossibile che un malware possa attivarsi solo scaricando un’immagine compressa da WhatsApp.

Da un punto di vista squisitamente tecnico, ciò non significa che i rischi siano completamente eliminati. In teoria, un aggressore potrebbe sfruttare una vulnerabilità zero-day nel modo in cui WhatsApp o il sistema operativo sottostante analizzano le immagini dopo la compressione, anche se si tratta di uno scenario altamente improbabile.

Inoltre, se l’immagine fosse inviata come documento (anziché come semplice immagine), la compressione non è applicata e i metadati, inclusi eventuali payload nascosti, restano intatti: una finestra di rischio, quindi, permane ma è ben diverso dal sostenere che una semplice foto porti all’esecuzione di codice arbitrario.

La notizia della foto ricevuta su WhatsApp che porta all’esecuzione di codice e alla sottrazione di denaro è una bufala?

Allo stato attuale, a valle delle verifiche che abbiamo svolto, sembra proprio di sì.

Un’ipotetica vulnerabilità come quella descritta avrebbe un impatto disastroso e necessiterebbe, quanto meno, della distribuzione immediata di una patch correttiva da parte di WhatsApp. La possibilità di eseguire codice arbitrario inviando semplicemente una foto tramite il client di messaggistica aprirebbe le porte ad attacchi dalle conseguenze disastrose. Talmente pesanti, vista anche la popolarità di WhatsApp usato globalmente da 2 miliardi di persone, che in confronto un incidente come la scoperta di Paragon Graphite (sul quale ancora si sta cercando di fare luce) sarebbe quasi irrilevante.

Ragioniamo a mente fredda. Le varie testate riportano quanto segue:

A Jabalpur, nel Madhya Pradesh (India), un uomo ha perso l’equivalente di circa 2.200 euro dopo aver ricevuto un messaggio WhatsApp da un numero sconosciuto che chiedeva aiuto per identificare una persona in una foto.

Una falla di sicurezza come quella di cui stiamo parlando sarebbe proprio da spionaggio internazionale e rientrerebbe nella “sfera d’interesse” di aziende come Paragon, che si occupano di progettare e sviluppare spyware in grado di utilizzare falle ancora sconosciute.

Possiamo davvero essere così creduloni nel pensare che uno zero-day di questa portata (eseguire codice a partire da un messaggio o un allegato WhatsApp è il Santo Graal di qualunque criminale informatico!…) possa essere sfruttato per sottrare la misera cifra di 2.200 euro a un singolo indiano intento a sbrigare le sue faccende nella regione del Madhya Pradesh?

La morale è spesso la stessa: non tutto ciò che è virale è automaticamente vero.