Le cose potrebbero diventare davvero brutte per WhatsApp agli utenti se non stai attento. È stata scoperta una nuova vulnerabilità che potrebbe consentire a un utente malintenzionato remoto di disattivare facilmente WhatsApp sul tuo telefono, solo con il tuo numero di telefono. La cosa preoccupante è che l’autenticazione a due fattori non sarà in grado di impedire che ciò accada. WhatsApp di proprietà di Facebook ha più di 2 miliardi di utenti in tutto il mondo, che ne prendono o ne prendono alcuni, rendendola l’app di messaggistica istantanea più popolare e più utilizzata al mondo. Il modo in cui funziona questo attacco è che richiede una certa quantità di errori da parte dell’utente stesso, ma nel passaggio successivo che dovrebbe essere progettato per proteggerlo, anche l’autenticazione a due fattori non fa nulla per prevenire l’attacco. I ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, hanno dimostrato la vulnerabilità e sono stati in grado di uccidere WhatsApp sul telefono di un utente, a Forbes .
Ci sono due parti di questa vulnerabilità, come descritto nel rapporto. Il primo è come WhatsApp è installato su qualsiasi dispositivo. Ad esempio, quando installi WhatsApp sul tuo telefono, riceverai un codice SMS per verificare la scheda SIM e il numero. La stessa cosa può essere fatta anche da un hacker: installa WhatsApp sul suo telefono utilizzando il tuo numero di telefono. In questa fase, inizierai a ricevere codici a sei cifre su SMS che suggeriscono che qualcuno ha richiesto il codice per l’installazione di WhatsApp sul proprio telefono. Non puoi fare nulla e WhatsApp sul tuo telefono continua a funzionare normalmente per il momento. Questi codici arriveranno ripetutamente, poiché fa parte del processo di hacking. A un certo punto, il processo di verifica di WhatsApp limiterà il numero di codici che possono essere inviati e limiterà la possibilità di generare più codici per un periodo di 12 ore. Durante questo periodo, WhatsApp continua a funzionare in modo assolutamente normale. Ciò che tuttavia non dovresti fare in questa fase è disattivare WhatsApp sul tuo telefono e provare a reinstallarlo. Non sarai in grado di generare un codice. Si prevede che questa vulnerabilità avrà un impatto su WhatsApp per Android e WhatsApp per iPhone.
Vai al passaggio successivo. L’hacker crea un ID e-mail e quindi invia un’e-mail a [email protected] affermando che il telefono su cui è stato installato WhatsApp è stato rubato o perso e che devono disattivare WhatsApp per quel numero, e questo sarà il tuo numero di telefono. WhatsApp potrebbe confermare di nuovo il tuo numero tramite e-mail, ma non è possibile per loro identificare se si tratta di un hacker che invia queste e-mail o del vero proprietario. Dopo un po’, WhatsApp per il tuo numero di telefono verrà disattivato. Quando aprirai l’app, vedrai la notifica”Il tuo numero di telefono non è più registrato con WhatsApp su questo telefono”. Continua dicendo che ciò potrebbe essere dovuto al fatto che WhatsApp è stato installato su un altro telefono. Sii molto allarmato in questa fase.
La linea di condotta logica sarebbe provare e configura nuovamente WhatsApp sul tuo telefono. Inserisci il tuo numero e attendi il codice di verifica. Il rapporto suggerisce che nessun codice arriverà su SMS e l’app ti dirà”Attendi prima di richiedere un SMS o una chiamata”. Questo perché il tuo telefono è ora soggetto allo stesso conto alla rovescia di 12 ore con limitate opportunità di nuova verifica.”Ma all’improvviso ti ricordi di aver ricevuto codici WhatsApp inaspettati un’ora o due prima. Recupera l’SMS più recente e inserisci il codice in WhatsApp. Ma anche questo non funzionerà.”Hai indovinato troppe volte”, ti dice WhatsApp. Ovviamente, non hai proprio indovinato. Ma il tuo telefono ha le stesse restrizioni dell’aggressore. Non puoi richiedere un nuovo codice, non puoi inserire l’ultimo codice, sei bloccato”, dice il rapporto.
Dopo il segno di 12 ore è trascorso, avrai due percorsi e potrai percorrerne uno a seconda di quanto sei fortunato. Se l’attacco si interrompe qui, sarai in grado di registrare WhatsApp sul tuo telefono e la vita tornerà alla normalità. Ma in caso contrario, attendono altri problemi. Se l’aggressore attende il periodo di 12 ore e invia nuovamente una mail a WhatsApp, non sarai in grado di configurare WhatsApp sul tuo telefono anche se ricevi i messaggi di testo con i codici. I ricercatori indicano che WhatsApp si rompe e si confonde dopo il terzo ciclo di 12 ore e invece di un conto alla rovescia, dice semplicemente”riprova dopo-1 secondi”. Lo stesso trattamento viene riservato al tuo telefono e al telefono dell’aggressore. E qui sta il problema. Se l’aggressore attende fino ad ora prima di inviare nuovamente un’e-mail a WhatsApp per disattivare il tuo numero, non ci sarà modo per te di registrare nuovamente WhatsApp sul tuo telefono quando verrai espulso dalla tua app.”È troppo tardi”, hanno detto i ricercatori a Forbes.
Il problema con la verifica di WhatsApp L’architettura è che i codici SMS e il supporto automatico della posta elettronica non hanno alcun secondo livello per verificare l’autenticità ed è molto aperto agli abusi. I ricercatori sottolineano anche che questo tipo di attacco non necessita di alcuna sofisticazione per essere implementato. “Non c’è modo di rinunciare a essere scoperti su WhatsApp. Chiunque può digitare un numero di telefono per individuare l’account associato, se esiste. Idealmente, una mossa verso una maggiore attenzione alla privacy aiuterebbe a proteggere gli utenti da questo, oltre a costringere le persone a implementare un PIN di verifica in due passaggi”, ha detto a Forbes Jake Moore di ESET. WhatsApp si collega semplicemente a un numero di telefono e non dispone di una politica del dispositivo attendibile che lo colleghi a un ID dispositivo o al sistema operativo su cui è stato installato e verificato l’ultima volta.
Sfortunatamente, la risposta di WhatsApp a Zak Doffman di Forbes non suscita molta fiducia. Tutto quello che dicono è:”fornire un indirizzo email con la verifica in due passaggi aiuta il nostro team del servizio clienti ad assistere le persone nel caso dovessero riscontrare questo improbabile problema. Le circostanze identificate da questo ricercatore violerebbero i nostri termini di servizio e incoraggiamo chiunque abbia bisogno di aiuto a inviare un’e-mail al nostro team di supporto in modo che possiamo indagare”. In realtà, se il tuo WhatsApp è stato violato, la consapevolezza che la persona responsabile di questo attacco non sofisticato viola i termini di servizio di WhatsApp è una magra consolazione. Il rapporto dice anche che WhatsApp non ha confermato alcun piano per correggere questa vulnerabilità.
Leggi tutti i Ultime notizie e Ultime notizie qui
