20 Aprile 2021
Chi usa frequentemente WhatsApp dovrebbe essere consapevole dell'esistenza di una falla che consente a chiunque di sospendere un qualsiasi altro account di un utente che usa la popolare app di messaggistica. Basta conoscere il numero di telefono del malcapitato.
Cosa ancora più grave, nemmeno l'autenticazione a due fattori riesce ad evitare conseguenze negative. La procedura non è semplicissima, ma resta il fatto che si tratta di una vulnerabilità del sistema che andrebbe in qualche modo corretta. Jake Moore, uno dei ricercatori che ha fatto luce sul problema, sottolinea:
È un altro attacco preoccupante che potrebbe avere un impatto su milioni di utenti potenzialmente presi di mira. Con così tante persone che si affidano a WhatsApp come principale strumento di comunicazione, è allarmante la facilità con cui questo si può verificare.
PARTE 1: BLOCCO PER 12 ORE INVIO CODICI DI VERIFICA
nota: in questo schema la vittima ha utilizzato l'autenticazione a due fattori che prevede l'invio del codice SMS sullo smartphone
Il primo insieme di azioni compiute da chi mette a segno l'attacco comprende:
- Download sul suo smartphone dell'app di WhatsApp;
- Inserimento, nella fase iniziale di configurazione dell'app, del numero di telefono associato all'account che si vuole bloccare;
- WhatsApp invia il codice di verifica sul numero di telefono indicato. Naturalmente chi porta l'attacco può non può leggerlo, mentre il legittimo proprietario riceverà la notifica relativa al codice. L'app sullo smartphone della vittima continuerà a funzionare in questa fase, alla vittima basterà ignorare i messaggi (che però rappresentano un primo campanello d'allarme di un possibile attacco in corso);
- Il malintenzionato continua a inserire codici errati e a richiederne di nuovi: dopo un certo numero di tentativi WhatsApp blocca per 12 ore la possibilità di chiedere e ricevere nuovi codici.
PARTE 2: RICHIESTA BLOCCO ACCOUNT VIA EMAIL
In queste 12 ore WhatsApp continua a funzionare regolarmente sullo smartphone della vittima, il primo problema potrebbe sorgere qualora dovesse decidere di disinstallare e reinstallare l'app, perché resta inibita la possibilità di chiedere il codice di verifica.
Ma il secondo problema, ancora più grave, sorge con le successiva serie di azioni del malintenzionato che:
- Registra un nuovo indirizzo e-mail;
- Invia al servizio di supporto di WhatsApp una email segnalando che lo smartphone con il numero di telefono della vittima è stato sottratto/rubato e chiedendo quindi che l'account WhatsApp associato sia sospeso.
La grave falla nella sicurezza emerge proprio in quest'ultimo passaggio: WhatsApp non chiede alcuna informazione aggiuntiva a chi effettua la richiesta di blocco dell'account e non può essere quindi certo se proviene effettivamente dal legittimo proprietario del numero/account. Il blocco viene disposto in base ad una procedura automatizzata.
A quel punto la vittima riceve sullo smartphone una notifica che sottolinea come il numero di telefono non sia più associato a WhatsApp ed invita a richiedere un codice di verifica per tornare ad associarlo. Facile a dirsi ma difficile a farsi, visto che il malintenzionato ha precedentemente bloccato per 12 ore le possibilità di chiedere nuovi codici (ved. parte 1); l'utente non ne è al corrente ed è confuso, ricorda di aver ricevuto codici di verifica in precedenza, ma anche provando ad utilizzarli l'operazione non va a buon fine alla luce del precedente blocco di 12 ore.
PARTE 3: IL BLOCCO PUÒ DIVENTARE SEMI PERMANENTE
Verrebbe da dire che sarebbe sufficiente attendere la scadenza delle 12 ore per risolvere il problema: in tal modo la vittima potrebbe nuovamente ricevere il codice di verifica, inserirlo e riassociare il numero di telefono. Il problema è che nulla vieta all'attaccante di ripetere lo schema d'attacco più e più volte. Se l'attaccante è costante, il blocco dell'account può diventare sostanzialmente permanente.
COSA DICE WHATSAPP
Secondo WhatsApp c'è un rischio molto basso che qualcuno sfrutti sino in fondo la vulnerabilità descritta. Sia chiaro che non è un bug a determinarla - non basta quindi un semplice fix - ma i meccanismi per l'invio dei codici di verifica e per il blocco dell'account in caso di furto/sottrazione dello smartphone che funzionano così come sono stati progettati. Semmai si potrebbe ragionare su come migliorarli (es. con un blocco non automatico dell'account, ma subordinato alla richiesta di ulteriori informazioni personali).
L'informazione che WhatsApp vuole trasmettere all'utente è che, anche nell'ipotesi in cui la falla sia sfruttata, attivare l'autenticazione a due fattori e contattare il servizio di assistenza esponendo l'accaduto è la principale via d'uscita.
Commenti
C'è un modo per contattare l'assistenza di Whatsapp direttamente, non tramite mail? Magari un telefono? non rispondono alle mie mail di aiuto...
Scusate, poichè io sono incappata nel blocco di 24 ore tentando di ripristinare un backup dal vecchi cell sul nuovo, e sono disperata, vorrei capire una cosa: l'attivazione della autenticazione a due fattori, che se ho ben capito richiede una password stabilita da me per verificare il numero, produce comunque il blocco dopo un certo numero di richieste di verifica del numero?
TREMONE
Il mio account Whatsapp non possono bloccarmelo in nessun modo.
Ok, ma conosci per caso servizi che forniscono numeri virtuali, anche a pagamento, di cui ci si può fidare? Soprattutto che funzionino
No, infatti non viene infranta, segue la legge sulla privacy e ti comunica/chiede il consenso che i dati verranno condivisi con altri, che essi siano utenti o aziende (che poi la cosa sia discutibile con me sfondi una porta a aperta), ma legalmente parlando, WhatsApp sta, essenzialmente, a posto, meno gli utenti che per l'appunto dovrebbero chiedere il consenso prima di aggiungere.
Per sistemare la questione dovrebbero inserire prima i famosi username (senza numero né username non saresti proprio rintracciabile altrimenti), sicuramente e tranquillamente fattibile, ma essenzialmente il problema è che non credo abbiano interessi...
Sul consenso a ricevere messaggi invece, non credo si possa fare niente... non è assolutamente illegale inviare messaggi a qualcuno, a meno che non si finisca nello stalking e co., continuando ad inviare messaggi anche se gli viene detto di non farlo.
Per il consenso ad aggiungerti al gruppo già ci sta nelle impostazioni l'opzione per permettere solo ai tuoi contatti di aggiungerti, con tanto di filtro per le persone che pur avendole in rubrica, non vuoi che ti aggiungano. Come opzione è già accettabile. (È la stessa che ha anche telegram)
Poi le questione sono altre:
-La gente è maleducata: Sono loro che, a prescindere dall'opzione presente o meno, dovrebbero comunque chiedere il permesso, specie se ci sono estranei nel gruppo.
-Ci si ostina a voler usare WhatsApp per scopi per cui non è fatto: Dal sito si legge chiaramente "semplicità " e "restare in contatto con amici, familiari o colleghi".
Per le chat con perfetti estranei a cui non vorresti dare il tuo numero, non è WhatsApp la soluzione da utilizzare. Non è nato per quello e non è fatto per quello, e difficilmente lo diventerà.
Eh vabbè, qua non parliamo di privacy ma di casi davvero estremi. Comunque si puoi ma non è consigliabile: una volta perso il numero virtuale se eventualmente ti rubassero il telefono o dovessi resettare non potresti più accedere a quell'account.
Fai prima a comprare una seconda sim
Io non voglio proprio che i mie contatti sappiano che io sono registrato a telegram...per questo volevo registrarmi con un numero virtuale.
Appunto. La legge sulla privacy non può venire infranta dall'informativa di whatsapp, è una cosa illegale, la funzione andrebbe semplicemente sistemata per nascondere il numero di telefono o lasciare solo il nome o nessuno dei due se un utente non vuole condividerli in un gruppo... Insomma possono e devono fare qualcosa, non è un problema insormontabile.
Già se ti aggiungono ad un gruppo puoi nascondere foto e nome, basta nascondere anche il numero di cell e magari chiedere il consenso prima di ricevere decine di messaggi al secondo (mi è successo una volta sola)
Se ti fregano il telefono lo recuperi con il codice di attivazione che non segnalerai come fraudolento, la SIM te la ridanno con il vecchio numero, e sarebbe l'ultimo dei tuoi problemi...
Se vuoi che le chat vengano eliminate prima di cancellare l'account puoi farlo, anche tutte insieme tra l'altro, non puoi però pensare che cancellando l'account ti debba resettare le chat, nessuna chat lo fa, benché meno WhatsApp. Su telegram rimane la chat all'altro se non la cancelli ma non risale a te, vengono cancellati i riferimenti (numero,avatar, nome e Nick)
Che mi chiedo dove abbiano il cervello
Fossi in te approfondirei due questioni: proprietà e crittografia. Poi fai come credi, c'è chi lascia le chiavi nel cruscotto dell'auto...
Tu esageri sempre!
Tutti si fanno sempre gli affari tuoi.
Hai ragione.
Essendo programmatore. Hai ragione. Ricordavo una cosa del genere.
Cara redazione di HD BLOG, questo articolo sembra come quelli che trovavo da ragazzo sulle riviste di pseudo informatica in edicola, dove facevano finta di condannare i pirati informatici, ma in realtà ti spiegavano come scaricare da emule e Napster...
Esattamente cosa vedi di strano in questa affermazione?
"WhatsApp come principale strumento di comunicazione"... ma dove? In quale universo parallelo??
Non mi pare che whatsapp si sia mostrato più affidabile. In mano a Facebook poi è una garanzia.
Si, questo lo so perché l'ho usato e poi eliminato l'account. Siccome ho fatto questa operazione più di una volta, adesso dice che devo aspettare un po' prima di poter fare il nuovo account e, nel frattempo, volevo capire se è possibile registrarsi proprio con un numero virtuale davvero (ne ho provati molti ma nessuno che funziona).
Infine vorrei registrarmi con un numero virtuale perché c'è una cosa molto antipatica di Telegram che è incredibile come non si possa disattivare visto che parlano tanto di privacy: Il fatto che quando ti registri, i tuoi contatti che hanno telegram ricevono una notifica...è una cosa odiosa e addirittura un amico mi ha chiesto, quando ho disattivato l'account "ma come mai dove prima c'era la tua chat adesso c'è ACCOUNT ELIMINATO"...cioè privacy di qua e di la ma tutti vedono quando ti registri/cancelli ecc.
Le ha ma sono attivabili col singolo utente, le chat segrete o come le chiama telegram, però per fare ciò vengono salvate in locale sul dispositivo e quindi perdi il vantaggio principale di telegram: il cloud
Sono già arrivati quelli che scrivono che bisogna usare telegram?
telegram non ha le chat crittografate?
Su telegram puoi decidere di nascondere il numero di telefono, imposta un nickname e chiunque può trovarti con quello. Puoi decidere chi deve visualizzare il tuo numero e l'immagine del profilo.
Certo, poi é sicurissimo, andate tranquilli
Cioè da 5 dollari a 25000 euro?
Non uso telegram ma non faccio fatica a credere che sia migliore di WhatsApp.
Dicono che forse venderà addirittura più di Ordissimo Le Numero 1
Come fa iMessage. E la gente sbrocca per la spesa che deve sostenere ad ogni attivazione.
“ Primo, il codice di verifica deve essere accompagnato, come è su tutta una marea di servizi, segnalabile.
Hai richiesto tu il codice di disattivazione? Se rispondi no hai risolto e puoi segnalare il fatto che qualcuno ti stia cercando di fregare l'account...”
C4774t4. Se ti fregano il telefono non puoi recuperare il tuo account.
Ma richiede molti più sforzi e deve avercela proprio con te.
Diciamo che se sei nel mirino di un black hat esperto, questo diventa l’ultimo dei tuoi problemi.
funziona così:
i cacciatori di bug trovano il bug, avvertono la software house, se la software house fa orecchie da mercante il bug viene divulgato dopo un tot di tempo.
Quelli che dicono “per fortuna io ho telegram” sono i migliori!
Quindi ti senti più sicuro su un app di un russo con sede legale a Dubai che non usa di default la crittografia end to end?
Bello in linea teorica ma non credo che Whatsapp sospenda account così facilmente.
si con solo nick ma il nr inizialmente lo devi mettere
metti un nick
Si, su telegram sì. È già tanto che chiedano un numero
Fortunatamente, bho
Si ma per configurare questo reato devi entrare in possesso del codice di conferma e usare WhatsApp al posto della persona "attaccata". L'argomento trattato nell'articolo è tutt'altro! si rendono note solo falle che che portano ad una sospensione temporanea di un account WhatsApp.
Io modificherei i 5$ in 0.5 bitcoin.
Ottimo, adesso lo so fare anch’io...
Come soluzione ci sarebbe quella di abbandonare WhatsApp.
Sul fatto che viola la privacy decisamente non è così, quando ti registri è scritto chiaramente nei termini, o meglio nella privacy policy, che accetti che il tuo numero sarà condiviso con altri.
Sarebbe una violazione della privacy se ti dichiara che nessuno vedrà il tuo numero ed invece quello viene condiviso.
Ma è scritto chiaramente, ed eventualmente accettato dall'utente, che il numero viene condiviso con altri.
E' da un po' che non lo uso ma anni fa si poteva. Ora non so.
che tu sappia è possibile?
Ah e' solo per la privacy?
Scusa avevo inteso male.
eh? vorrei semplicemente evitare di mettere il mio numero.