Una nuova vulnerabilità scuote il mondo della messaggistica istantanea: sono tre miliardi gli utenti potenzialmente esposti a un tracciamento in tempo reale attraverso applicazioni che ogni giorno promettono privacy e sicurezza.

Basta un semplice numero di telefono per essere seguiti nei propri spostamenti, abitudini quotidiane e persino nei ritmi del sonno. Il tutto sfruttando una falla nota come Silent Whisper, una minaccia che mette a nudo i limiti delle difese di piattaforme come WhatsApp e Signal, spesso considerate baluardi della comunicazione cifrata.

Alla base della vulnerabilità ci sono i cosiddetti delivery receipts, ovvero le conferme di consegna dei messaggi. Un meccanismo pensato per migliorare l’esperienza utente, che però può essere trasformato in un sofisticato strumento di sorveglianza. La gravità della situazione è amplificata dal fatto che la prova di concetto sia già pubblica e facilmente accessibile anche a chi non possiede competenze tecniche avanzate. Ad oggi, non esiste ancora una patch ufficiale in grado di correggere il difetto e tutelare davvero gli utenti.

La vulnerabilità Silent Whisper è un terremoto per la messaggistica istantanea

Il funzionamento dell’attacco è sorprendentemente semplice ma estremamente efficace. I ricercatori hanno dimostrato che è possibile inviare messaggi invisibili o particolari—come reazioni a contenuti mai esistiti o modifiche scadute—che generano comunque una risposta da parte dell’applicazione. Analizzando il tempo impiegato per ricevere le delivery receipts, noto come RTT (Round Trip Time), un malintenzionato può raccogliere informazioni preziose: sapere se il dispositivo è attivo, se lo schermo è acceso, quale tipo di connessione è in uso (Wi-Fi o rete mobile) e, in alcuni casi, dedurre addirittura se l’utente sta dormendo o meno.

Le ripercussioni di Silent Whisper non sono solo teoriche, ma estremamente pratiche e tangibili. In uno scenario di attacco costante, i test su un iPhone 13 Pro hanno rilevato un incremento nel consumo di batteria fino al 14% ogni ora—un valore quattordici volte superiore rispetto all’uso normale del dispositivo in standby. Questo comporta non solo un evidente deterioramento dell’esperienza utente, soprattutto durante attività che richiedono molta banda come le videochiamate, ma anche un aumento dei costi legati al traffico dati.

La vera sfida per gli sviluppatori delle piattaforme di messaggistica risiede nell’equilibrare la comodità offerta dai delivery receipts con la necessità di garantire una protezione efficace contro possibili abusi. Non a caso, le organizzazioni che si occupano di diritti digitali stanno chiedendo maggiore trasparenza nelle politiche di sicurezza e una risposta più rapida e concreta alle vulnerabilità che emergono. L’obiettivo è evitare che strumenti nati per migliorare la comunicazione si trasformino in veicoli di sorveglianza e controllo non autorizzato.

In attesa che le aziende rilascino aggiornamenti risolutivi, gli esperti consigliano di prestare attenzione a segnali come un consumo anomalo di batteria e dati, di limitare la diffusione pubblica del proprio numero di telefono e di mantenere sempre aggiornate le app di messaggistica. Si tratta di precauzioni semplici, ma fondamentali per ridurre il rischio di esposizione.