WhatsApp su più dispositivi e identità degli utenti a rischio

Finalmente WhatsApp permetterà l’utilizzo contemporaneo dell’applicazione su più dispositivi: come riportato da WABetaInfo il popolare client di messaggistica potrà essere installato su più dispositivi e utilizzato indifferentemente dall’uno o dall’altro in modo simile a quanto accade da tempo con Telegram.
La novità riguarderà i dispositivi iOS e Android così come la versione di WhatsApp per sistemi Windows. WhatsApp Web, inoltre, potrà essere utilizzato anche senza disporre di un dispositivo collegato alla rete Internet sul quale è installata l’app WhatsApp: WhatsApp Web, trucchi e consigli per utilizzarlo al meglio.

Le nuove funzionalità sono al momento in fase di sviluppo e non è dato sapere la data in cui esse saranno distribuite agli utenti finali. Ciò che non è chiaro, inoltre, è se WhatsApp sia semplicemente utilizzabile in modalità offline (quindi per la semplice consultazione dei messaggi già ricevuti) oppure se l’utente possa inviare e ricevere messaggi senza un dispositivo collegato (ipotesi meno probabile).

Torna in auge la “debolezza” di WhatsApp che permette di risalire ai numeri telefonici di persone famose

Qualche tempo fa, nell’articolo Trucchi WhatsApp: i più utili e i meno conosciuti al punto “19) Scoprire messaggi di stato e avatar di qualunque utente WhatsApp” abbiamo visto come ancora oggi utenti completamente sconosciuti, non presenti nella propria lista dei contatti, abbiano la possibilità di estrapolare numero telefonico, avatar e il messaggio di stato correntemente utilizzato.
Il tema era stato oggetto di un approfondimento (WhatsDog e le altre app che monitorano gli altri utenti su WhatsApp: risorsa o minaccia) con WhatsApp e Facebook che al tempo risposero come non si trattasse di una falla di sicurezza e che il problema non sarebbe stato corretto.

In effetti quello venuto a galla non è propriamente una “falla” né un vero e proprio bug: si tratta piuttosto di una “leggerezza” che ad oggi può comunque essere sfruttata “in maniera creativa” per raccogliere interessanti informazioni sugli utenti di WhatsApp.

Lo sviluppatore francese Tristan Granier, in un’intervista rilasciata a Numerama, spiega di essere riuscito a risalire ai numeri telefonici personali di alcune tra le più famose celebrità, semplicemente servendosi di un normale dispositivo mobile e dell’app WhatsApp ivi installata.

Come? Granier ha dapprima sviluppato uno strumento per generare ampi blocchi di numeri telefonici in modo sequenziale. Tali numerazioni sono state poi importate nella rubrica del dispositivo mobile usando il noto formato vCard.
Utilizzando un semplice script Granier ha poi estratto le immagini del profilo WhatsApp utilizzate da ciascun numero di telefono registrato sull’applicazione di proprietà di Facebook. Successivamente, quindi, il ricercatore ha sottoposto ciascuna immagine a Google usando il servizio di ricerca inversa: per alcune immagini Granier ha ottenuto i nomi di personaggi famosi. Da qui, con una semplice ricerca nel database locale così composto l’esperto ha potuto ottenere i numeri di telefono delle varie celebrità.

Granier ha definito come una sorta di attacco bruteforce funzionante all’inverso e ha precisato di aver usato uno strumento sviluppato in proprio e rilasciato su GitHub col nome di Operative Framework.

Un video pubblicato su YouTube mostra l’intero procedimento utilizzato.

Stando alla risposta che Facebook fornì per segnalazioni similari un paio di anni fa, non è possibile parlare di un problema di sicurezza né di rischi per la privacy degli utenti. Viene da chiedersi se la risposta fornita a suo tempo fornita sia così inattaccabile soprattutto in ottica GDPR.