Le 4 vulnerabilità e pericoli alla sicurezza dei dati che WhatsApp deve ancora risolvere

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

WhatsApp ha compiuto un notevole passo avanti nella sicurezza dei dati gestiti dalla compagnia, affidando alle sapienti mani degli sviluppatori di Open Whisper Systems la privacy dei messaggi inviati e ricevuti dagli utenti, implementando una crittografia E2E (end-to-end) che rende i contenuti scambiati perfettamente inaccessibili ad hacker e persino agli stessi sviluppatori dell’app di chat.

La domanda più lecita che qualcuno potrebbe porsi in questo caso riguarda proprio però la commissione ad una società terza – in questo caso una delle più abili ed efficaci compagnie di sviluppo in tema di privacy dei dati, consigliata persino da Edward Snowden – della realizzazione della crittografia: perchè non crearla autonomamente?

Principalmente esistono due motivi a supporto di tale decisione: un protocollo crittografico sperimentato, potenziato e molto conosciuto come quella sviluppato dalla O.W.S. è considerato molto più affidabile rispetto ad un sistema di sicurezza proprietario; in secondo luogo, WhatsApp ha una lista di precedenti assolutamente poco positiva riguardo la sicurezza dei dati personali. E noi vi spieghiamo le quattro criticità e vulnerabilità di WhatsApp che l’azienda non ha ancora risolto.

#1 – Le trappole di WhatsApp Web

Sin dalla sua fondazione, WhatsApp Web non ha mai convinto troppo gli utenti: le stime riportano che solamente 200 milioni di utenti su 1 miliardo fanno uso della piattaforma di gestione delle chat; nonostante si trattino solamente di proiezioni – e dunque non di dati reali – ognuno di quegli utenti rischia quotidianamente di cadere nella trappola dei finti portali di WhatsApp Web.

Vulnerabilità di WhatsApp 4
Tra i falsi WhatsApp Web troviamo persino un add-on per Chrome!

Secondo un referto stilato da Kaspersky Lab, sono decine i programmi alternativi sviluppati da hacker e spammer che possono trarre in inganno gli utilizzatori più sprovveduti della piattaforma che, complice anche la scarsa pubblicità che WhatsApp Web ha sempre ricevuto, potrebbero non avere l’accortezza di distinguere siti il portale ufficiale da quelli simulati. Generalmente si trattano di versioni alternative di WhatsApp Web spagnole, brasiliane o persino arabe che chiedono agli utenti l’inserimento dei propri numeri di telefono – finendo così per iscriversi in liste di spamming, a servizi a pagamento o promozionali, chiaramente non richiesti.

Generalmente la fonte di questi raggiri è WhatsApp stessa: tra le vulnerabilità di WhatsApp troviamo infatti anche la mancanza di un’Impostazione che impedisca a numeri non salvati nella Rubrica di contattare l’utente, la qual cosa favorisce spammers e malintenzionati consentendo loro di raggiungere in chat gli utenti fingendosi call center o persino un fantomatico Servizio Clienti di WhatsApp. Se l’utente medio è abbastanza scaltro da non cadere in questi raggiri, le categorie più a rischio come anziani o adolescenti potrebbero invece non riuscire a distinguere questo genere di truffe: come puntualizzato da Adaptive Mobile, gran parte dei messaggi scambiati su WhatsApp quotidianamente possono rientrare a buon diritto nella categoria dello SPAM. E, per la legge dei grandi numeri, è certo che almeno una percentuale di questi vada a buon segno.

#2 – Il bug dei 4000 caratteri

La seconda vulnerabilità di WhatsApp che la piattaforma non ha ancora provveduto a risolvere era già salita agli onori della cronaca qualche settimana fa: un ricercatore indiano scoprì infatti che è necessario solamente inviare un messaggio composto da 4000 emoji per mandare completamente in crash l’applicazione.

WhatsApp Bug manda in crash l'app 2
Sono sufficienti 4.000 caratteri

Se anche potreste ritenere molto remota la possibilità che un giorno vi addormentiate sulla tastiera arrivando a comporre un messaggio tanto lungo, non dovreste però prendere alla leggera la minaccia che questa vulnerabilità di WhatsApp può rappresentare se sfruttata appositamente per creare disagi. Dato che non è possibile impedire a sconosciuti di prendere contatto con il proprio profilo, spammer, hacker o semplicemente buontemponi armati di cattive intenzioni dovrebbero solamente inviarvi il fatidico messaggio per costringervi a disinstallare e reinstallare WhatsApp, oppure a cancellare la chat – sempre che il conseguente crash dell’applicazione ve lo permetta.

Nonostante WhatsApp avesse poi assicurato che fossero necessari 6000 caratteri per riuscire a rallentare il processo di gestione delle chat, sono in molti ad aver verificato l’effettiva incapacità dell’applicazione di gestire singoli messaggi di dimensioni superiori ai 7MB; questo limite viene poi drasticamente e drammaticamente abbassato sino a raggiungere i 2KB di peso se nel testo vengono inseriti particolari caratteri speciali. Potete saperne di più nell’Approfondimento dedicato alla notizia.

#3 – WhatsSpy ed i dati che la crittografia non copre

Nonostante la crittografia end-to-end pubblicizzata da WhatsApp come un baluardo contro l’intromissione dei governi ed uno scudo per la privacy delle conversazioni, sono molte le informazioni che questo tipo di tecnologia non nasconde. Anzi, nonostante i contenuti delle conversazioni continuino a risultare inaccessibili agli occhi persino di WhatsApp, i metadati e le informazioni collaterali come la data d’accesso, il luogo d’invio del messaggio e la durata della conversazione rimangono comunque a disposizione della polizia e delle autorità che ne facciano richiesta (oltre che a Facebook, naturalmente).

Vulnerabilità di WhatsApp 3
Tutti i dati che WhatsSpy rende disponibili

A conferma di ciò il programmatore Maikel Zweerikin ha sviluppato l’app e software WhatsSpy che provvede a rendere pubbliche ad un utente la foto di profilo, la data d’accesso, lo stato e ogni altra informazione ad esclusione delle conversazioni, persino se la privacy del profilo colpito è impostata sul massimo livello di sicurezza disponibile. Una scoperta inquietante che ci pone un altrettanto scomodo interrogativo: se un solo sviluppatore è riuscito a creare un programma tanto intrusivo, quali sarebbero le conseguenze se venisse posto nelle mani di un hacker esperto?

#4 – Programmi e spyware

Nonostante la crittografia end-to-end protegga i messaggi degli utenti durante la loro trasmissione tra i due o più dispositivi, nel momento in cui questi vengono ricevuti diventano suscettibili a programmi spia ed applicazioni malevole, gli spyware sopra tutti.

Vulnerabilità di WhatsApp 2
I servizi messi a disposizione da mSpy, dietro compenso

È proprio il caso di mSpy, un’applicazione sviluppata per mantenere sotto controllo le conversazioni di WhatsApp, Hangouts ed altre app di messaggistica grazie alla quale è solamente necessario installare il sistema all’interno del telefono oggetto delle attenzioni per avere l’accesso completo ad ogni chat, e non solo. Si tratta di uno spyware che si maschera da servizio a pagamento e non possiamo (forse) biasimare WhatsApp dato che la crittografia end-to-end per definizione non risponde delle minacce che possono provenire direttamente dal dispositivo dell’utente; una vulnerabilità di WhatsApp che però possiamo denunciare coinvolge l’utilizzo degli indirizzi MAC da parte dell’azienda.

Un indirizzo MAC è un identificativo unico per l’utente e WhatsApp ne fa uso per inviare le conversazioni ed i messaggi provenienti da telefoni e tablet; ad un hacker è dunque sufficiente venire a conoscenza di questo indirizzo per ricevere tutte le chat sul proprio smartphone, senza che inoltre il malcapitato utente possa accorgersene dato che i messaggi verranno comunque recapitati al destinatario originale.

Come guadagna WhatsApp? Quali sono gli introiti che garantiscono all’applicazione la sopravvivenza nonostante non disponga più dell’abbonamento? Scopri QUI tutti i segreti dell’applicazione, e le sue potenzialità!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi approfondimenti sulla Sicurezza di WhatsApp nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//