Un aggressore può davvero bloccare qualsiasi account WhatsApp?

Alcuni esperti di sicurezza hanno contestato a WhatsApp, dal 2014 di proprietà di Facebook, un problema che riguarda la gestione degli account degli utenti registrati. Non si tratta di una vulnerabilità vera e propria ma è comunque uno strumento che gli aggressori possono utilizzare per impedire ad altri soggetti l’utilizzo dell’app di messaggistica.

Sebbene la modalità di attacco sia piuttosto arzigogolata, i ricercatori Luis Márquez Carpintero ed Ernesto Canales Pereña osservano che problemi del genere non dovrebbero interessare una piattaforma che vanta 2 miliardi di utenti in tutto il mondo.
A rincarare la dose è Jake Moore di ESET che conferma l’esistenza del problema e spiega come alcune “leggerezze” commesse dagli sviluppatori di WhatsApp possano costare caro a milioni di utenti.

Per come l’attacco si svolge ci auguriamo che a questo punto WhatsApp voglia porre in essere delle contromisure monitorando e approfondendo la veridicità delle richieste con cui si richiede il blocco di un account.

Ma partiamo dall’inizio. Sfruttando ad esempio la pubblicazione di alcuni dati personali relativi a circa 530 milioni di iscritti a Facebook (Facebook spiega da dove sono arrivati i 530 milioni di record contenenti i numeri di telefono degli utenti), per un aggressore diventa oggi piuttosto semplice conoscere il numero di telefono di tante persone, anche dei nomi più famosi.
Con ogni probabilità, infatti, un numero di telefono mobile registrato su Facebook corrisponde a quello utilizzato dalla stessa persona per WhatsApp.

Un aggressore può installare WhatsApp sui suoi dispositivi e specificare come numero da usare per la registrazione quello di un altro soggetto che riceverà un SMS o una chiamata.
Ripetendo più volte l’operazione WhatsApp bloccherà l’invio di tali informazioni spiegando che non si potranno effettuare ulteriori tentativi per le successive 12 ore.

Per l’utente preso di mira ciò non è un problema perché a parte il fastidio di vedersi recapitare SMS non richiesti, WhatsApp continuerà a funzionare regolarmente.

L’aggressore può a questo punto creare un account, ad esempio su Gmail, contattare l’assistenza di WhatsApp via email all’indirizzo support@whatsapp.com e chiedere il blocco dell’account associato all’altrui utenza telefonica.
Il problema è che, come hanno ripetutamente dimostrato i ricercatori, al momento WhatsApp utilizza un sistema automatico per la verifica del contenuto delle email e soddisfa le richieste di blocco a fronte del furto o dello smarrimento dello smartphone.

Dopo poco tempo il legittimo proprietario dell’account si ritroverà WhatsApp bloccato con la richiesta di effettuare una nuova registrazione per riassumere il controllo dell’applicazione.
Avendo precedentemente bloccato l’account a seguito dei molteplici codici di attivazione richiesti dall’aggressore, l’utente non potrà tornare subito ad accedere a WhatsApp.
Anzi, alla scadenza delle successive 12 ore, l’aggressore potrebbe tornare a generare tanti codici di registrazione e tenere la vittima lontano da WhatsApp per altre 12 ore.
Al terzo attacco, invece di impostare un conto alla rovescia di ulteriore 12 ore, WhatsApp mostrerà un contatore col valore “-1” non permettendo più il recupero dell’account oggetto di aggressione.

Non è chiaro se e quando WhatsApp risolverà il problema anche se sulla carta appare piuttosto semplice da sistemare.

Nel frattempo, come osserva Forbes, tra gli utenti del concorrente Signal (Signal: come funziona. Cosa lo rende unico rispetto ai concorrenti) spicca un nome di primo piano ovvero quello di Mark Zuckerberg, presidente e CEO di Facebook.