whatsapp
(Ansa)
Cyber Security

Ci possono rubare l'account Whatsapp

È arrivata una nuova brutta sorpresa per gli oltre 2 miliardi di utenti Whatsapp: è stato infatti scoperto un altro rischio di sicurezza piuttosto allarmante.

Utilizzando semplicemente un numero telefonico, un aggressore può disattivare da remoto WhatsApp e bloccare l'accesso da parte dell'utente. Il sistema di autenticazione a 2 fattori non è in grado di bloccare del tutto questo rischio.

Come si svolge l'attacco

Nonostante l'enorme user base, con più di 2 miliardi di persone che utilizzano quotidianamente l'app di messaggistica istantanea, WhatsApp continua a presentare preoccupanti falle in termini di cybersecurity.

Ora appare in difficoltà rispetto ai prodotti offerti dalla concorrenza, con un'architettura tecnologica che manca di alcune funzionalità – da punto di vista della security - chiave come l'accesso da più dispositivi e i backup completamente cifrati che sono offerte su altre applicazioni simili.

A tutto questo si assomma un nuovo rischio, il furto dell'account. Mese dopo mese giunge notizia di nuovi schemi orchestrati da Criminal Hacker volti a sottrarre l'account a utenti poco avvezzi al mondo della sicurezza digitale. E una volta che l'account finisce nelle mani sbagliate, può diventare molto complesso riprenderne possesso.

E se i rischi di sicurezza citati in precedenza sono principalmente di responsabilità di WhatsApp, nel caso di un furto di account è pur sempre necessario l'errore dell'utente.

Messa in maniera semplice, non è mai sensato inviare (a nessuno) il codice a 6 cifre necessario per l'attivazione dell'account Whatsapp su di un dispositivo.

Il sistema di autenticazione a 2 fattori

Purtroppo, anche il sistema di autenticazione a 2 fattori di Whatsapp non elimina del tutto i rischi in questo caso specifico. Questo perché si basa su due procedure separate, entrambe con debolezze fondamentali. E la combinazione di queste due falle può provocare la disattivazione del proprio account WhatsApp o la totale perdita di controllo dello stesso.

Quando si installa per la prima volta WhatsApp all'interno di un dispositivo, come ad esempio uno smartphone, la piattaforma dall'icona biancoverde invia un codice via SMS per verificare l'account. Dopo averlo digitato correttamente, l'app chiederà il numero di autenticazione a due fattori per assicurarsi che la richiesta provenga dal legittimo proprietario.

La procedura di verifica

La prima debolezza emerge sapendo che chiunque può installare WhatsApp su di un telefono e digitare il numero sulla schermata di verifica. Il cellulare già verificato riceverà gli SMS e le chiamate da WhatsApp con i codici di verifica. Si riceverà anche una notifica dall'app di WhatsApp, che sottolinea come il codice sia stato richiesto e l'importanza di non condividerlo con nessuno.

Notifica di verifica ed SMS

Un aggressore potrebbe applicare questa strategia con il tuo numero telefonico associato a WhatsApp mentre si continua a utilizzare normalmente l'app. Vengono richiesti codici su codici, digitando numeri a caso. Il cellulare "legittimo" riceverà quindi chiamate e SMS ma non potrà fare nulla dei codici, dato che la richiesta non proviene da questo lato. Salvo casi particolari, è probabile che il destinatario decida di ignorare del tutto l'avvenuto.

Il problema è che la procedura di verifica di WhatsApp limita il numero di codici che possono essere inviati. Dopo qualche tentativo, WhatsApp mostrerà il messaggio "Reinvia SMS/chiama fra 12 ore" e così non potranno essere generati codici nuovi. WhatsApp blocca inoltre le possibili richieste di invio codici dopo un certo numero di tentativi.

Quindi, mentre WhatsApp continua a funzionare normalmente sul tuo telefono, l'aggressore ha bloccato la possibile generazione di nuovi codici anche nel caso in cui sia tu a effettuare la richiesta. Al momento, non sembrano esserci problemi, a meno che durante le 12 ore di attesa tu non abbia bisogno di un codice di verifica.

La seconda falla

L'aggressore registra quindi un nuovo indirizzo email e invia un messaggio a support@whatsapp.com con la richiesta di disattivare l'account, poiché è stato perso o rubato. Nella richiesta viene anche allegato il tuo numero telefonico per completare la procedura.

La procedura a questo punto è automatica, dato che l'account verrà disattivato senza alcun'altra verifica richiesta da parte di WhatsApp. Ora l'applicazione non funzionerà più e verrà mostrato un messaggio allarmante che recita "Il tuo numero di telefono non è più registrato su WhatsApp su questo telefono". La disattivazione è quindi completata su basi automatizzate, inviando messaggi con determinate parole chiave.

La risposta di Facebook

Come è pratica comune negli ultimi tempi, Facebook ha cercato di sminuire gli eventi, dando loro poca importanza. Così era già accaduto a seguito di una vulnerabilità scoperta nel 2019 che aveva provocato il furto di dati a 533 milioni di utenti.

Come difendersi

Per prima cosa è consigliabile attivare il sistema di autenticazione a 2 fattori per prevenire il rischio di furto dell'account, includendo un indirizzo email per bloccare questo tipo di offensiva.

Inoltre, è sempre opportuno prestare attenzione a eventi sospetti o irrituali come l'invio di notifiche da parte di WhatsApp senza specifica richiesta da parte tua.

Non abbassiamo la guardia!

YOU MAY ALSO LIKE