Una falla nell’app WhatsApp potrebbe consentire l’accesso non autorizzato a chat, foto, video e altri dati personali degli utenti.
WhatsApp è un servizio di messaggistica istantanea con circa 5 miliardi di download e 2,4 miliardi di utenti in tutto il mondo. La quantità di dati che passa attraverso l’applicazione è quindi enorme. È una vera e propria miniera d’oro per gli hacker, il che spiega perché la minima falla di sicurezza venga venduta per milioni di dollari sul Dark Web.
Va detto che sono pochissime. Meta, la società madre, è ben consapevole della posta in gioco e rafforza continuamente la sua applicazione per renderla il più impermeabile possibile. Purtroppo questo non significa che sia inaccessibile, come dimostra la falla che permette di salvare una foto o un video effimeri che dovrebbe essere cancellato dopo la visualizzazione. L’esperto dietro la scoperta, Tal Be’ery, ha trovato un’altra vulnerabilità, preoccupante.
WhatsApp, grave vulnerabilità che mette a rischio i dati personali
La vulnerabilità individuata non è del tutto nuova, Tal Be’ery ne aveva già parlato all’inizio dell’anno. In poche parole, permette agli hacker di sapere qual è il dispositivo principale su cui si utilizza WhatsApp, oltre a farsi un’idea generale del suo tipo (mobile o fisso).
Il problema è in realtà più serio di quanto si possa pensare ed è dovuto al modo in cui WhatsApp gestisce l’identificazione dei messaggi. Ogni sistema operativo (Windows, iOS, Android, macOS, ecc.) assegna un identificatore in un certo modo. Su uno smartphone Android, ad esempio, l’identificativo è composto da 32 caratteri, mentre su iPhone ne contiene 20 più un prefisso. Windows si ferma a 18 e un messaggio scritto dall’interfaccia webmail inizia con 3EB0 seguito da 22 caratteri.
Un hacker può facilmente intercettare questo identificativo e, a seconda di come è costruito, dedurre per cosa si utilizza WhatsApp. In questo modo è molto più facile sferrare un attacco informatico efficace, perché ora sanno quale dispositivo e quale sistema operativo prendere di mira. E più l’attacco è personalizzato, più è difficile da rilevare e prevenire. Ma può andare molto oltre.
Quali sono i rischi e come possiamo proteggerci?
A parte gli hacker, è plausibile che qualcuno di più “ordinario” possa utilizzare queste informazioni per danneggiare o abusare di un’altra persona. Ad esempio, l’invio di un messaggio “Sono in macchina, ti richiamo io“, solo che il testo viene identificato come proveniente da un PC Windows, il che desta sospetti.
Come utente, non potete fare assolutamente nulla per evitare che i dati trapelino sul dispositivo che si sta utilizzando. Spetta a Meta fare ciò che è necessario e distribuire una correzione tramite un aggiornamento di WhatsApp. Tal Be’ery ha notificato all’azienda la falla e ha ricevuto una risposta il 17 settembre. L’azienda ha dichiarato di aver letto il rapporto del ricercatore e che stava esaminando la questione.
Da allora, nonostante diversi solleciti, non è successo nulla. L’uomo ritiene che l’attesa sia troppo lunga e per questo ha deciso di rivelare pubblicamente la vulnerabilità di WhatsApp. Propone anche una soluzione: “In teoria, WhatsApp potrebbe semplicemente utilizzare la stessa logica di generazione dell’ID del messaggio su tutte le piattaforme ed eliminare completamente l’opportunità [di identificazione]“. Speriamo che questo acceleri le cose.