WhatsApp, una coppia di ricercatori svela a Forbes l’esistenza di una pericolosissima falla: tutti gli account sono potenzialmente a rischio.
La rivista Forbes, di recente, ha pubblicato gli allarmanti risultati di uno studio effettuato da due ricercatori di sicurezza. Ernesto Canales Pereña e Luis Márquez Carpintero, questi sono i loro nomi, hanno individuato una pericolosissima falla in un’app che, per un motivo o per un altro, è sempre sotto i riflettori.
Leggi anche: WhatsApp, la funzione tanto attesa è in fase di collaudo: tutti i dettagli
Stiamo parlando di WhatsApp, il gioiellino del gruppo Facebook che continua a dominare, seppur tra mille difficoltà, il mercato dell’instant messaging. La ricerca condotta sui suoi sistemi di sicurezza ha permesso ai due studiosi di appurare che prendere possesso di un account WhatsApp è più semplice di quanto si pensi.
La colpa sarebbe, come hanno fatto notare Pereña e Carpintero a Forbes, di una sorta di bug. Una lacuna che riguarda, più nello specifico, la procedura di verifica degli account. Il problema sta a monte, nel fatto che per accedere ad un account WhatsApp sono necessari due dati non proprio privatissimi.
WhatsApp, c’è una falla nel sistema di autenticazione
Chiunque conosca l’indirizzo email e il numero di telefono della vittima presa di mira potrebbe, potenzialmente, avere libero accesso al suo account. Questo significa che l’autenticazione a due fattori pensata su WhatsApp, da sola, non è assolutamente sufficiente a rendere il proprio profilo impenetrabile. Lo scenario ipotizzato da Pereña e Carpintero è il seguente. Poniamo che un malintenzionato, in possesso del nostro numero, decida di installare WhatsApp sul proprio device e di indicare il nostro numero durante l’attivazione del suo account. A questo punto, il sistema inoltrerà automaticamente sul numero indicato un codice di verifica.
Naturalmente, l’hacker non potrà avervi accesso, ma potrebbe presumibilmente inserire numeri a casaccio. Ad un certo punto, WhatsApp bloccherà il vostro account per 12 ore. Nulla impedirà, al malintenzionato di cui sopra, di spacciarsi per voi e di contattare l’assistenza dell’app affermando che il vecchio device sia stato perso o rubato e che ha necessità, quindi, di reinstallare tutto sul nuovo dispositivo. WhatsApp, in tal caso, si limiterà a verificare solo ed esclusivamente l’autenticità dell’email, per poi provvedere a sbloccare l’account sul nuovo smartphone indicato. E così, il “ladro” di profili assumerà il pieno controllo del vostro account.
Solo in questa fase l’utente si accorgerà che c’è qualcosa di strano. Riceverà dall’app la comunicazione di avvenuta disattivazione dell’account su quel dispositivo e non potrà più riappropriarsene, a meno che non faccio lo stesso identico “giochetto” dell’hacker che lo ha colpito alle spalle. Gli sviluppatori dell’app sanno bene che questa falla c’è e che tutti gli account sono a rischio, ma ritiene che quanto paventato dai due ricercatori di sicurezza sia altamente “improbabile”. Speriamo che sia davvero così.