Per ottenere l’accesso non autorizzato a un dispositivo elettronico si possono seguire vari approcci, non solo in base alle esigenze di chi effettua l’attacco informatico, ma anche delle caratteristiche del dispositivo stesso e del software che lo fa funzionare. Le società come Paragon lavorano soprattutto sfruttando le cosiddette “falle di sicurezza” nei sistemi, cioè errori o imprecisioni nei codici informatici che possono essere sfruttati per far eseguire ai dispositivi certi compiti all’insaputa dei loro proprietari.
Le falle che garantiscono maggiori probabilità di successo sono solitamente legate alle vulnerabilità cosiddette zero day, cioè difetti in un software o in un sistema operativo che non sono stati ancora scoperti (o resi pubblici) da chi ha prodotto quei programmi. Spesso è lo sviluppatore stesso dei programmi o del sistema operativo a non esserne a conoscenza, e di conseguenza non ha ancora provveduto a diffondere aggiornamenti di sicurezza per correggere il problema.
Le zero day hanno un alto valore perché, una volta identificate, possono passare a lungo inosservate dai produttori ufficiali, dando quindi la possibilità a chi vuole sfruttarle di farlo per diverso tempo; ci sono stati casi di vulnerabilità di questo tipo che sono rimaste sconosciute per mesi o addirittura anni.
Una zero day può richiedere un lungo lavoro per essere scoperta oppure può essere acquistata a prezzi molto alti sul mercato nero, da gruppi di hacker e cracker che si occupano di cercarne di nuove. Questo è il motivo per cui sono gestite soprattutto da agenzie di intelligence o società di spionaggio che si possono permettere importanti investimenti economici. È inoltre un’attività ad alto rischio: il valore di una zero day si azzera non appena viene scoperta e sistemata da chi produce i sistemi operativi o i software interessati, rendendola inutilizzabile.
Le aziende come Paragon o altri soggetti costruiscono sulle vulnerabilità di questo tipo degli strumenti per attaccare i dispositivi che ne sono affetti, in modo da ottenere l’accesso ai loro dati. Uno dei sistemi più efficaci per farlo è attraverso un attacco zero click, che come suggerisce il nome non richiede nessuna interazione da parte dell’utente come per esempio il click su un link o l’apertura di un file allegato. La falla viene quindi sfruttata automaticamente quando il dispositivo riceve i dati inviati dall’autore dell’attacco, che vengono poi elaborati producendo effetti invisibili al suo proprietario.
Detta più semplicemente con un esempio pratico: l'obiettivo designato riceve una fotografia su un’applicazione per messaggi e, anche se non l’ha aperta (perché per esempio non conosce il mittente), l’app ha comunque prodotto una piccola anteprima per mostrare di che si tratta. L’applicazione lo ha fatto leggendo i dati nel file, che le hanno permesso di capire che si tratta di un’immagine e di conoscere il modo in cui decodificarla e farla apparire sullo schermo. Se però in quei dati è nascosto del codice malevolo che sfrutta una falla di sicurezza, l’applicazione lo esegue contestualmente alla produzione dell’anteprima dell’immagine, dando l’accesso all’autore dell’attacco.
Nel caso di cui si parla in questi giorni, l’ipotesi è che sia avvenuto qualcosa di simile proprio in una chat di gruppo di WhatsApp, ma le informazioni sono ancora scarse e si è inoltre parlato di un accesso più ampio ai dispositivi e ai loro backup (cioè al salvataggio automatico dei loro dati online, per recuperarli nel caso in cui si rompa o smarrisca lo smartphone).
A seconda dei casi e della gravità della zero day, l’autore dell’attacco ha comunque la possibilità di effettuare una “escalation dei privilegi”, cioè di partire da una singola funzionalità di una app o del sistema operativo per estendere poi il proprio accesso a funzionalità normalmente riservate. Può anche installare software aggiuntivo per spiare le attività svolte sul dispositivo, oppure compromettere altri dispositivi collegati alla stessa rete.
A seconda del tipo di accesso ottenuto, il dispositivo può poi essere sorvegliato a lungo a distanza da chi ha effettuato l’attacco. Le società come Paragon offrono servizi come Graphite per gestire i collegamenti con quei dispositivi, decidere che dati scaricare e come tenerli sotto controllo, sempre all’insaputa dei loro proprietari.