Su WhatsApp è stato scoperto un grave bug: in sostanza esso permette a chi conosce il vostro numero di farvi “bannare” temporaneamente l’account. Come? Installando WhatsApp, inserendo il vostro numero come scelta per effettuare il login e sbagliando in ripetizione il codice di verifica. L’azienda è consapevole del problema, tuttavia non ha ancora posto una soluzione dato che ritiene attacchi di questo tipo “improbabili”
Ad ogni nuova installazione di WhatsApp in un nuovo telefono, l’applicazione al primo avvio richiede di portare a termine il login al proprio account. Ciò avviene tramite il proprio numero di telefono, che rappresenta in qualche modo la chiave d’ingresso nell’applicazione: una volta portato a termine questo passaggio è possibile anche ripristinare i backup delle conversazioni precedentemente salvati su Google Drive.
In tutto questo c’è un passaggio cruciale per poter effettivamente portare a termine il login nell’app, ed è rappresentato dalla ricezione del codice di conferma via SMS o tramite chiamata da un bot. Si tratta di una misura di sicurezza molto utile, ma che purtroppo si trova al centro di un pericoloso bug ancora irrisolto.
Leggi anche: Ti hanno bloccato su WhatsApp ma vuoi scrivergli? ecco il trucco come fare
WhatsApp: il bug che permette di far bannare un account e rubare il profilo
Più che di un bug forse sarebbe opportuno parlare di un “trucco” malevolo: stiamo parlando della concreta possibilità di far bannare temporaneamente un account, se si conosce il rispettivo numero di telefono. La falla di sicurezza è stata scoperta da due ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, illustrando il tutto a Forbes.
Ma come può avvenire ciò? L’attaccante, ossia chi conosce il numero della “vittima” di questo trucco, installa WhatsApp da zero su uno smartphone e procede con il login. Inserisce come numero di telefono quello del malcapitato. A questo punto l’applicazione segue l’iter di riconoscimento e manda un SMS con il codice di verifica sul numero della vittima dell’attacco. Logicamente l’attaccante non ha alcun modo per vedere il codice, e dunque inserirà cifre sbagliate in continuazione, finché WhatsApp non bloccherà l’account per 12 ore.
Fine della storia? Purtroppo no: l’attaccante infatti può inviare una mail al supporto tecnico di WhatsApp affermando che il precedente telefono è stato rubato, e l’azienda può procedere di conseguenza allo sblocco dell’account sullo smartphone dell’attaccante: di fatto, un furto di account.
Come proteggersi dall’attacco?
Allo stato attuale delle cose WhatsApp non ritiene il problema una minaccia reale, e pertanto non ha promesso alcun aggiornamento o cambio delle policy in futuro. Il trucco/bug in questione quindi non esenta nessuno dal possibile furto di account, che ricordiamo può avvenire soltanto se l’attaccante è a conoscenza del numero personale della vittima dell’attacco.
Leggi anche: WhatsApp Pay, la novità per ricevere ed effettuare pagamenti via chat
In merito da WhatsApp è arrivata a dire il vero una risposta: “fornire un indirizzo email per la verifica in due passaggi aiuta il nostro team del servizio clienti ad assistere le persone nel caso dovessero riscontrare questo improbabile problema. Le circostanze identificate da questi ricercatori (coloro che hanno scoperto la falla in questione, ndr) violerebbero i nostri termini di servizio e incoraggiamo chiunque abbia bisogno di aiuto a inviare un’email al nostro team di supporto in modo che possiamo indagare”.
L’unico modo al momento è di procedere alla “controrisposta” ossia rifare il percorso identico dell’attaccante: attendiamo eventuali procedure più mirate da WhatsApp stessa.
