WhatsApp, un bug mette in pericolo le chat degli utenti | Digital4Trade
Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Sicurezza mobile

WhatsApp, un bug mette in pericolo le chat degli utenti

di Paolo Longo

16 Gen 2017

Scoperta da un ricercatore tedesco, la falla permetterebbe all’azienda di usare una chiave crittografica alternativa per tradurre i messaggi degli iscritti

Pericolo sicurezza su WhatsApp, la crittografia end-to-end che dovrebbe proteggere gli iscritti viene meno, almeno in parte. Ecco cosa succede: nella fase di invio di un messaggio tra gli utenti, la compagnia americana, parte del gruppo Facebook, può sfruttare una chiave crittografia alternativa, ponendosi come ricevente temporaneo così da prelevare la comunicazione e tradurla. Per quale motivo? Ufficialmente per non lasciare che i contenuti condivisi (testo, foto, video, audio) vadano persi nell’etere digitale, a causa di problemi ed errori tecnici; in questo modo può sempre reindirizzare quanto inviato, senza bloccare lo scambio. Ma come fanno notare i difensori della privacy e gli esperti di sicurezza, questo trucchetto potrebbe benissimo essere usato per spiare le persone, eventualmente anche sotto minaccia e invito dei governi. 

 

Cosa succede

Il panorama è quello di un classico attacco “man-in-the-middle”, in cui l’aggressore si finge utente validato di un interscambio comunicativo (come può accadere tra host di posta e account personale) per valicare le misure di protezione di una piattaforma e rubare informazioni private. La falla è stata scoperta dal ricercatore tedesco Tobias Boelter, che l’aveva fatta presente al team di WhatsApp nell’aprile del 2016, in concomitanza con il lancio della crittografia end-to-end, che prevede la condivisione di una chiave (più una personale, conservata sul dispositivo) tra il mittente e il destinatario di una chat, utile per leggere in chiaro il contenuto di un messaggio. Un modo per rendere il servizio più sicuro c’è, ed è quello di bloccare l’invio e la ricezione quando la chiave validata tra due soggetti cambia. Ogni iscritto può infatti recarsi nelle impostazioni dell’app e scegliere di ricevere un avviso in caso di cambiamento della cifratura della key condivisa. Il problema è che, anche nel caso di nuova chiave (magari perché l’altra persona ha cambiato smartphone), la chat continua a funzionare, invitando solo l’utente a verificare la corrispondenza del codice alfanumerico con l’amico dall’altra parte dello schermo. Applicazioni simili, come Signal, quando evidenziano l’insorgere di una nuova chiave crittografica bloccano la comunicazione, chiedendo all’utilizzatore di verificarla all’istante prima di tornare a usare l’app.

Paolo Longo

Tech Journalist, responsabile tecnico/editoriale della sezione Tech Lab #Digital4Trade, appassionato di BritPop e dei fratelli Gallagher