Una grave vulnerabilità di sicurezza in WhatsApp ha esposto i numeri di telefono e le informazioni del profilo associato di oltre 3 miliardi di utenti in tutto il mondo, sollevando gravi preoccupazioni sulla privacy dell’app di messaggistica più popolare al mondo. La falla, scoperta dai ricercatori dell’Università di Vienna e dalla SBA Research, consente agli autori malintenzionati di rubare i dati degli utenti su una scala senza precedenti.
Come funziona la vulnerabilità
Il nocciolo del problema risiede nel meccanismo di rilevamento dei contatti di WhatsApp. Quando un utente concede all’app il permesso di accedere alla propria rubrica, WhatsApp confronta quei numeri con il suo database centrale per mostrare quali contatti sono presenti anche sulla piattaforma. Tuttavia, questo stesso processo può essere sfruttato per enumerare sistematicamente numeri di telefono, foto del profilo e stati “Informazioni” senza autorizzazione.
“Questo problema evidenzia un problema fondamentale dell’architettura di WhatsApp: il numero di telefono stesso è la vulnerabilità.” — Marijus Briedis, CTO di NordVPN.
Ciò significa che chiunque abbia competenze tecniche di base potrebbe potenzialmente raccogliere miliardi di dati, consentendo attacchi altamente mirati, tra cui phishing, impersonificazione e truffe di ingegneria sociale. La velocità con cui questi dati potrebbero essere estratti è particolarmente allarmante.
Le implicazioni più ampie
Questo incidente sottolinea una tendenza più ampia: i rischi intrinseci dell’utilizzo dei numeri di telefono come identificatori primari degli utenti. I numeri di telefono sono pubblici, permanenti e facilmente recuperabili, il che li rende inadatti all’autenticazione sicura nei moderni ambienti digitali. Molte piattaforme fanno ancora affidamento sui numeri di telefono per la registrazione e la verifica, creando una vulnerabilità sistemica che i criminali informatici possono sfruttare.
I risultati dei ricercatori, pubblicati in un documento prestampato intitolato “Ehi là!” Stai usando WhatsApp: Enumerare tre miliardi di account per sicurezza e privacy”, ci ricordano chiaramente che anche le piattaforme mature come WhatsApp non sono immuni da difetti di progettazione fondamentali.
Risposta di Meta e recenti accuse
Meta, la società madre di WhatsApp, afferma di aver affrontato e mitigato la vulnerabilità, affermando che non vi sono prove di sfruttamento dannoso. L’azienda riconosce inoltre la divulgazione responsabile da parte dei ricercatori dell’Università di Vienna nell’ambito del programma Bug Bounty.
Tuttavia, ciò arriva dopo le recenti accuse di un ex capo della sicurezza di WhatsApp, Attaullah Baig, che ha intentato una causa per presunti fallimenti sistemici nell’affrontare il furto di account e l’hacking, con oltre 100.000 account compromessi ogni giorno. Le affermazioni di Baig suggeriscono che le pratiche di sicurezza di WhatsApp potrebbero essere più permissive di quanto riconosciuto pubblicamente.
Cosa significa per gli utenti
La scoperta di questo difetto è un campanello d’allarme sia per gli utenti che per le piattaforme. Evidenzia la necessità di metodi di verifica dell’identità più forti oltre ai numeri di telefono, come identificatori decentralizzati o autenticazione biometrica.
In definitiva, questo incidente rafforza la realtà che la privacy online è una battaglia continua, non uno stato fisso. Gli utenti devono rimanere vigili sulla propria impronta digitale e le piattaforme devono dare priorità a solide misure di sicurezza per proteggere la propria base di utenti.
