Gadgetshowto
L'app di messaggistica più popolare al mondo potrebbe affermare di essere una fortezza ultra sicura, ma forse potrebbe essere necessario un ripensamento dopo che è stato scoperto un difetto di sicurezza di WhatsApp.
I ricercatori sulla sicurezza dell'Università della Ruhr di Bochum, in Germania, hanno scoperto una serie di vulnerabilità di sicurezza nelle app di messaggistica crittografate come WhatsApp, Signal e Threema. Il team ha rivelato i propri risultati alla conferenza sulla sicurezza di Real World Crypto mercoledì a Zurigo questa settimana. Mentre tutte e tre le app di cui sopra sono affette da una vulnerabilità o un'altra, quella che colpisce WhatsApp sembra essere la più grave.
Secondo i ricercatori, un difetto di progettazione intrinseco nell'app di chat di proprietà di Facebook consente a chiunque abbia il controllo dei server WhatsApp di inserire nuove persone in chat di gruppo private senza bisogno dell'autorizzazione dell'amministratore, nonostante le promesse di crittografia end-to-end.
Mentre ogni membro del gruppo riceverà comunque notifiche su un nuovo membro che si unisce al gruppo, il team della Ruhr University afferma che un hacker intelligente che controlla i server di WhatsApp può utilizzare alcune soluzioni alternative per evitare, o almeno ritardare, il rilevamento.
Risposta di WhatsApp
Mentre WhatsApp ha ammesso i risultati dei ricercatori, un portavoce dell'azienda in una conversazione telefonica con Wired, ha comunque insistito sul fatto che le notifiche verranno inviate a ciascun membro esistente su qualsiasi nuovo partecipante a un gruppo. "Abbiamo creato WhatsApp in modo che i messaggi di gruppo non possano essere inviati a un utente nascosto", il rapporto ha citato un portavoce dicendo via e-mail, sulla falla di sicurezza di WhatsApp.
Nel frattempo, il Chief Security Officer di Facebook Alex Stamos ha respinto i risultati con un tweet pubblico.
https://twitter.com/alexstamos/status/951169174688026625
Spiegare il difetto di sicurezza di WhatsApp
I problemi sorgono a causa della misura in cui un potenziale aggressore potrebbe sfruttare questa falla di sicurezza di WhatsApp. Potrebbero bloccare i messaggi degli amministratori o di altri membri che potrebbero tentare di avvisare tutti i nuovi partecipanti, memorizzando nella cache i messaggi e quindi lasciandoli passare selettivamente. Un server WhatsApp compromesso consentirà inoltre all'hacker di decidere quale messaggio viene inviato a chi, indipendentemente dai destinatari previsti.
Il processo diventa un po 'più difficile nei gruppi con più amministratori, dove, per sembrare legittimi partecipanti a un gruppo, il man-in-the-middle deve inviare messaggi diversi a ciascun amministratore, facendo sembrare che un altro avesse invitato loro al gruppo. Ciò che è altrettanto allarmante è l'affermazione che anche dopo essere stato individuato come ospite non invitato, l'hacker può impedire la sua espulsione dal gruppo.
