Chiunque è potenzialmente in grado di provocare la sospensione del vostro account WhatsApp: tutto ciò di cui ha bisogno è il numero di telefono associato. La falla è stata scoperta e resa nota dai ricercatori Luis Márquez Carpintero e Ernesto Canales Pereña. Nel momento in cui viene scritto e pubblicato questo articolo non c’è soluzione al problema.
L’attacco che disattiva gli account di WhatsApp
Il metodo è di per sé piuttosto semplice. Chi esegue l’attacco installa l’applicazione su un nuovo dispositivo e inserisce il numero di telefono della vittima per l’attivazione del servizio. Il tentativo non va a buon fine, poiché il sistema di autenticazione a due fattori chiede di completare l’operazione sul dispositivo che ospita la SIM. Dopo una serie di tentativi andati a vuoto, si è bloccati per dodici ore.
A questo punto il malintenzionato invia un messaggio all’assistenza di WhatsApp chiedendo supporto da un proprio indirizzo email, affermando che lo smartphone è stato smarrito o rubato e chiedendo che la disattivazione dell’account. Chi si trova dall’altro capo della comunicazione “verifica” l’autenticità della richiesta attraverso una semplice risposta via posta elettronica, poi la soddisfa. Se ripetuta più volte, la procedura può portare a un blocco permanente. Così Jake Moore, ricercatore ESET, commenta quanto emerso sulle pagine di Forbes.
Si tratta di un altro hack preoccupante, che può avere un impatto su milioni di utenti potenzialmente esposti a un attacco. Con così tante persone che fanno affidamento a WhatsApp come principale strumento di comunicazione per finalità sociali o lavorative, è allarmante quando sia semplice farlo accadere.
Fortunatamente, chi esegue l’attacco non può in alcun modo accedere alle informazioni private degli account (contatti, messaggi, file scambiati). Non costituisce dunque una minaccia per la privacy.
Il team di WhatsApp non ha rilasciato alcuna dichiarazione in merito alla volontà di risolvere il problema, limitandosi ad affermare che la pratica costituisce una violazione dei termini di servizio e che l’impiego dell’autenticazione a due fattori nella fase di recupero dell’account potrebbe tornare utile. Di fatto, al momento gli utenti non hanno alcun modo per proteggersi.