WhatsApp ha annunciato tre nuove funzionalità che consentono di avere una maggiore protezione per account e dispositivo. Account Protect rileva il trasferimento dell’account su un altro dispositivo, Device Verification blocca l’accesso non autorizzato al dispositivo, mentre Automatic Security Codes verifica automaticamente la sicurezza della connessione.
WhatsApp: novità per la sicurezza
Account Protect è la funzionalità che garantisce il trasferimento sicuro dell’account su un altro dispositivo. È utile soprattutto nel caso di SIM swapping. Sullo schermo viene mostrato un messaggio relativo all’operazione e l’utente deve confermare il trasferimento sul vecchio smartphone.
Device Verification, disponibile su Android, permette di bloccare l’accesso all’account da parte di un malware. I controlli aggiuntivi di sicurezza vengono effettuati in background, senza richiedere l’intervento dell’utente.
La funzionalità usa tre parametri per impedire il furto della chiave di autenticazione usato per la connessione tra client e server: un token memorizzato sul dispositivo, un nonce usato per identificare il client che recupera un messaggio dal server e un authentication challenge che esegue il ping asincrono del dispositivo.
Infine, Automatic Security Codes consente di verificare automaticamente la sicurezza della connessione. Per controllare se messaggi e chiamate sono protetti dalla crittografia end-to-end è possibile inquadrare il codice di sicurezza mostrato nella sezione dedicata del contatto oppure confrontare il numero da 60 cifre.
La funzionalità automatizza l’operazione attraverso la Key Transparency e la Auditable Key Directory (AKD). La procedura è piuttosto complessa, come spiegato nel post dedicato. In pratica la verifica viene effettuata da un solo client, utilizzando la directory delle chiavi pubbliche. Sarà disponibile su Android nei prossimi mesi.