Tecnologia
June 17 2020
Un ricercatore di cyber security ha scoperto che Whatsapp attraverso una sua funzionalità, ad insaputa degli utenti, pubblicava i numeri dei cellulari degli utenti direttamente su Google. Una notizia che coinvolge l'applicazione di messaggistica istantanea più popolare del mondo, una notizia che scoperchia nuovamente il Vaso di Pandora su come la nostra privacy e i nostri dati vengono gestiti.
Ma andiamo per step.
Stiamo ovviamente parlando di un bug, di un errore tecnico della funzionalità "Clicca per chattare" di WhatsApp. Questa funzionalità permette di iniziare una conversazione con una persona anche se non hai salvato il suo numero di telefono nella tua rubrica.
Il Problema? Il numero di telefono scelto viene indicizzato su Google, permettendo a tutti di trovarlo. Per intenderci, Google lo inserisce direttamente nel suo motore di ricerca.
La funzionalità, pensata per offrire ai siti web un modo semplice per avviare una sessione di chat con i visitatori, funziona associando QR code al numero di cellulare WhatsApp del proprietario del sito. Ciò consente a un visitatore di scansionare il codice o di cliccare su un URL per avviare una sessione di chat WhatsApp, senza dover comporre il numero.
Il visitatore, però, ottiene comunque l'accesso al numero di telefono una volta che la chiamata è stata avviata e, come se non bastasse il numero di telefono è visibile in chiaro nell'URL creato (https://wa.me/<phone_number>).
Ovviamente le conseguenze di questa svista tecnica sono immediatamente comprensibili. I nostri dati, in questo caso il nostro cellulare viene di fatto reso pubblico.
Una opportunità per qualsiasi Criminal hacker. Quando i singoli numeri di telefono vengono fatti trapelare, un aggressore può inviargli un messaggio, chiamarli, vendere i loro numeri di telefono a truffatori informatici o ad altri criminal hacker.
Poiché WhatsApp identifica gli utenti in base ai numeri di telefono, Google mostra solo questi e non l'identità degli utenti a cui erano collegati. Tuttavia, come per tutti i numeri di WhatsApp, erano visibili anche le foto.
Queste potrebbero essere utilizzate da un Criminal hacker determinato per effettuare una ricerca sulla foto del profilo dell'utente nella speranza di raccogliere abbastanza indizi per stabilire l'identità dell'utente e prenderlo di mira con email di phishing o altre tecniche di social engineering ( tecniche digitali per ingannare l'utente allo scopo di sottrarre informazioni e dati)
Dopo alcuni giorni di pressione, Facebook – proprietario di WhatsApp -, ha deciso di rimuovere l'url accusato, anche se inizialmente si era rifiutato di classificare il fatto come bug.
Inutile ricordare come WhatsApp sia per tutti noi oramai parte integrante della nostra quotidianità: lo usiamo per parlare con i nostri amici, i nostri familiari, i nostri colleghi...
Un problema come quello descritto poco prima, non può certamente riempirci di fiducia, soprattutto se una cosa preziosa come il nostro numero di telefono finisce in chiaro sul Web.
Problemi come questi solitamente sollevano un grande clamore e fiammeggianti discorsi sulla privacy e su come i Big come Facebook e Google gestiscano le nostre informazioni.
Ma con la stessa velocità con cui questi problemi conquistano le homepage dei quotidiani, spariscono sepolti dall'ultima grande nuova distrazione. E noi, che magari ci siamo arrabbiati della questione, nel mentre, abbiamo veramente smesso di usare i servizi nel mirino?
La risposta è quasi sempre no; perché sono comodi, intuitivi, radicati e – forse – perché della privacy oramai non ci interessa più troppo.
Vuole essere una provocazione, ovviamente, ma negli ultimi 20 anni lo scenario è talmente mutato e si è evoluto talmente tanto che di tornare indietro non si può parlare.
Vi ricordate, circa un anno fa quando Google aveva permesso a tutti di scaricare i dati raccolti su di noi attraverso i nostri account?
I pochi avventurosi che avevano deciso di intraprendere questo viaggio e spulciare quella che è ormai la propria autobiografia digitale, erano rimasti esterrefatti davanti alla mole di informazioni immagazzinate dal gigante californiano negli anni attraverso tutti i suoi servizi: da dove eravamo stati (Google Maps) a cosa ci piaceva ascoltare (YouTube).
Certo il paragone di questo al recente caso WhatsApp non salta all'occhio subito, ma in realtà i casi sono più simili del previsto.
Dobbiamo ricordarci che né Facebook né Google sono associazioni benefiche; nulla è veramente gratuito. I problemi della funzionalità "Clicca per chattare", sono evidenti, ma nascono comunque dall'esigenza di utenti e aziende di essere visibili; insomma risponde a una richiesta.
Non c'è dubbio che il diritto alla privacy debba essere inalienabile, ma in fondo Facebook è pur sempre un business e non ha creato il tutto senza rispondere a una necessità che arrivava da parte della sua base utenti.
Google, d'altro canto, per decenni ha prodotto servizi e applicazioni utili permettendo al mondo di utilizzarle "gratis"; in cambio noi abbiamo fornito le nostre preferenze, i nostri interessi, le nostre abitudini e più recentemente anche i nostri spostamenti.
Paradossalmente il nostro desiderio di avere tutto, subito e come lo vogliamo ha creato questa cultura dell'accumulo di dati massivo.
È una semplice questione di confort, la versione moderna dell'entrare nel nostro locale di fiducia e chiedere "il solito".
E dinnanzi alla comodità, sembra brutto sottolinearlo, spesso chiudiamo un occhio. È quello che succederà anche con l'ultimo caso di WhatsApp e con chissà quanti altri nuovi problemi che emergeranno in futuro.
Quindi ritorno alla mia domanda: ci interessa veramente la privacy?
Pierguido Iezzi
Cybersecurity Director, Swascan
Info: www.swascan.com