Messaggi invisibili WhatsApp: cos'è questa storia?

Da qualche giorno si è tornati a parlare dei messaggi invisibili WhatsApp ovvero della possibilità di inviare comunicazioni tramite il noto client di messaggistica istantanea che soltanto all’apparenza sembrano vuote.

Utilità pratica? Praticamente nessuna. Qualche testata presenta infatti la cosa come uno scherzo da fare ai contatti che usano WhatsApp, ma anche Telegram e Signal visto che il principio è esattamente lo stesso.

Su desktop provare ad avviare Microsoft Word oppure LibreOffice Writer quindi aprite un nuovo documento vuoto, digitatevi il codice 3164 quindi premete ALT+X immediatamente dopo.
Il codice 3164 si sarà trasformato in un carattere speciale che di fatto assume la forma di un quadrato completamente vuoto. Premendo CTRL+A per selezionare il carattere, CTRL+C per copiarlo in memoria e CTRL+V per incollarlo nella finestra di WhatsApp, Telegram o Signal, si otterrà un messaggio che una volta spedito apparirà vuoto causando qualche mal di testa e ingenerando dubbi nel destinatario.
La stessa cosa si può ottenere visitando questa pagina, premendo il pulsante Copy quindi incollando il carattere speciale dove si vuole.

Al di là della “curiosità”, U+3164 è uno dei tanti caratteri speciali Unicode che si possono ottenere e utilizzare in molteplici contesti.
Unicode è un sistema di codifica che assegna un numero univoco ad ogni carattere usato per la scrittura di testi, in maniera indipendente dalla lingua, dalla piattaforma informatica e dal programma utilizzati.
Nell’articolo abbiamo visto come ottenere simboli, caratteri speciali, faccine e molto altro ancora proprio usando la codifica Unicode.

Ciò su cui vale la pena richiamare l’attenzione è che la maggior parte dei client di messaggistica e delle piattaforme per la collaborazione non evidenziano eventuali attacchi omografici. Immaginate di ricevere un URL che sembra puntare a un sito web famoso come quelli di Facebook, Google/Gmail, Wikipedia e così via: sappiate però che la stragrande maggioranza degli indirizzi web può essere scritta usando caratteri Unicode che solo visivamente ricordano quelli latini.
Si pensi all’indirizzo wikipedia.org: le lettere “e” ed “a” possono essere espresse usando caratteri cirillici (con la codifica Unicode). Visivamente si leggerà wikipedia.org ma tale URL punterà a un indirizzo completamente diverso, ad esempio xn--wikipdia-g8g.org.

Quest’ultimo indirizzo è reso usando la codifica Punycode: essa si riconosce per il fatto che l’indirizzo inizia con xn--.
Con Punycode sequenze di caratteri Unicode vengono espressi usando caratteri ASCII standard: nell’esempio se il dominio xn--wikipdia-g8g.org fosse gestito a livello di DNS e di server web il browser verrebbe indirizzato verso una pagina che non è quella ufficiale di Wikipedia.

Il problema è che in passato i principali browser web non mostravano la versione Punycode degli indirizzi (ne parlavamo nell’articolo dedicato al ritorno degli attacchi omografici) quindi era ancora più semplice sferrare attacchi phishing e far credere a un utente di trovarsi su un sito ufficiale quando in realtà stava visitando una pericolosa copia non autorizzata allestita dai criminali informatici.

Nella maggior parte dei casi oggi si ricevono anche avvisi come quello riportato in figura: qui Chrome avverte che il sito di destinazione non è affidabile.

I messaggi invisibili di WhatsApp e soci ci permettono di richiamare l’attenzione su un problema importante: i client di messaggistica e altre piattaforme per la collaborazione online non usano la forma Punycode per i messaggi ricevuti da altri utenti. Attenzione quindi alla struttura dei link, a dove si fa clic e alla pagina che viene proposta lato browser.

Qui trovate tanti esempi di attacchi omografici: provate a fare copia e incolla in un client di messaggistica per verificare come ciascun URL si presenta.
Per ciascuna applicazione viene indicato in che modo l’URL contenente caratteri Unicode viene gestito.