Come funziona davvero la vulnerabilità WhatsApp che ha esposto i dati di 3,5 miliardi di utenti

In questi giorni si sta parlando di una nuova vulnerabilità legata al client di messaggistica istantanea WhatsApp. Un gruppo di ricercatori dell’Università di Vienna e di SBA Research ha sollevato un allarme globale sulla privacy degli utenti WhatsApp, dimostrando che più di 3,5 miliardi di account attivi possono essere identificati tramite il meccanismo di contact discovery integrato nell’applicazione. La ricerca, eticamente gestita e pubblicata sotto forma di anteprima, sarà presentata nel 2026 al Network and Distributed System Security (NDSS) Symposium. Le è stato assegnato l’eloquente appellativo di WhatsApp Census (“censimento degli utenti WhatsApp“).

Il meccanismo di contact discovery integrato in WhatsApp: come funziona

WhatsApp consente agli utenti di trovare i propri contatti usando la rubrica telefonica. Con il meccanismo chiamato contact discovery, l’app confronta automaticamente i numeri presenti nella rubrica del telefono dell’utente con quelli registrati sui server di WhatsApp. Se un numero corrisponde a un account WhatsApp, l’app lo segnala all’utente, permettendo di iniziare una conversazione senza bisogno di inviti manuali.

Il processo avviene inviando hash dei numeri di telefono (o versioni criptate) ai server di WhatsApp, che rispondono con informazioni relative agli account corrispondenti, come foto profilo e stato “about” se impostati come pubblici. In teoria, questo sistema serve a rendere immediata l’esperienza dell’utente, ma come dimostra lo studio, la logica di verifica dei numeri può essere sfruttata per enumerare massivamente gli account, anche senza accesso ai contenuti dei messaggi.

Secondo le conclusioni dello studio austriaco, era possibile inviare qualcosa come oltre 100 milioni di richieste di verifica al server di WhatsApp ogni ora da un singolo punto. “Normalmente un sistema non dovrebbe rispondere a un numero così elevato di richieste in tempi così brevi”, commenta Gabriel Gegenhuber, autore principale dello studio. “Questo comportamento ha esposto la falla che ci ha permesso di mappare dati degli utenti a livello mondiale”.

I dati raccolti dai ricercatori erano limitati a informazioni già pubbliche, come numero di telefono, chiavi pubbliche, timestamp e, se impostati come pubblici, foto del profilo e testo “about”.

Non sono stati mai oggetto di accesso, ovviamente, i contenuti dei messaggi, che rimangono protetti dalla crittografia end-to-end di WhatsApp. Tuttavia, combinando gli elementi raccolti in modo massivo, è stato possibile dedurre informazioni aggiuntive come il sistema utilizzato, l’età dell’account e il numero di dispositivi collegati, dimostrando come anche metadati apparentemente innocui possano rivelare dettagli personali.

Implicazioni globali e rischi

Lo studio non si limita a una valutazione tecnica: i ricercatori hanno ottenuto informazioni rilevanti su scala globale. Ad esempio:

• Hanno scoperto che milioni di account sono attivi nei Paesi in cui WhatsApp è ufficialmente vietato: Cina, Iran e Myanmar sono solo alcuni esempi.
• Distribuzione globale dei dispositivi: 81% Android e 19% iOS, con differenze regionali nel comportamento in fatto di tutela della privacy, come l’uso di foto pubbliche o del testo “about”.
• Rischi legati a numeri precedentemente trapelati: quasi metà dei numeri di telefono esposti nella fuga di dati di Facebook del 2021 risultano ancora attivi su WhatsApp, mantenendo il rischio di truffe o chiamate indesiderate.
• Anomalie crittografiche: casi isolati di riutilizzo di chiavi pubbliche tra dispositivi diversi, con potenziali implicazioni per client non ufficiali o usi fraudolenti.

Aljosha Judmayer, uno degli autori dello studio, sottolinea che la crittografia end-to-end protegge i contenuti dei messaggi, ma non necessariamente i metadati. “La nostra ricerca dimostra che anche questi ultimi possono comportare rischi significativi se analizzati su larga scala“.

La collaborazione con Meta

WhatsApp ha confermato di aver collaborato con i ricercatori nell’ambito del suo Bug Bounty Program, implementando contromisure come il rate-limiting e restrizioni sulla visibilità dei profili.

In pratica, il rate-limiting limita quante richieste un singolo utente o dispositivo può inviare ai server di WhatsApp in un dato intervallo di tempo, mentre le restrizioni sulla visibilità dei profili riducono l’accesso automatico a informazioni come foto del profilo o testo “about“, rendendo molto più difficile per chiunque raccogliere dati su larga scala senza il consenso degli utenti.

Nitin Gupta, Vice President of Engineering di WhatsApp, sottolinea che i messaggi degli utenti sono rimasti privati e sicuri; non è stato possibile accedere a dati non pubblici. “La ricerca ha permesso di testare e confermare l’efficacia dei nostri sistemi anti-scraping”.