Whatsapp: una falla nel sistema?

By 18/01/2018NOTIZIA
LANGA WEB | Siti Web, Programmazione e Social con Metodo

C’è una preoccupante vulnerabilità che colpisce l’app di messaggistica istantanea WhatsApp: l’ha anticipata un team di ricercatori tedesco che ne svelerà i dettagli tecnici nel corso della conferenza a tema Real World Crypto che si sta tenendo in questi giorni a Zurigo. Quel che sappiamo già è che la falla scoperta consente in teoria di penetrare in un gruppo WhatsApp anche senza invito, in barba a tutti gli algoritmi di crittografia che proteggono i messaggi nel loro tragitto tra gli utenti.

L’attacco si basa sul fatto che, all’interno delle dinamiche di un gruppo WhatsApp, la crittografia end-to-end della piattaforma che protegge le comunicazioni tra i membri sembra avere un punto debole: gli inviti. Questi elementi, gli unici necessari per garantire a chiunque l’ingresso in un nuovo gruppo, non partono dall’amministratore di turno ma vengono spediti dai server di WhatsApp sprovvisti di qualunque sistema di autenticazione, e possono quindi essere falsificati.

In questo modo chiunque può piombare senza una vera autorizzazione all’interno di un gruppo di estranei e farsi partecipe delle conversazioni che vi avvengono.

Prima che si entri tutti nel panico è meglio precisare che per spedire inviti falsi senza essere il vero amministratore di un gruppo occorre comunque avere il controllo di un server WhatsApp: è pur sempre l’infrastruttura della società che gestisce l’operazione, e violarla è un’operazione decisamente complessa e fuori dalla portata della maggioranza delle persone.

Per governi e organizzazioni ben finanziate però l’accesso — legittimo o meno — ai server WhatsApp non è impossibile, ed è per questo che la falla può essere considerata grave. In effetti era proprio per scongiurare scenari simili che la piattaforma aveva deciso nel 2016 di adottare la crittografia end-to-end per chiamate e messaggi: per impedire che i contenuti in transito presso la sua infrastruttura fossero leggibili a esterni semplicemente mettendo le mani sul canale di comunicazione. Che senso ha dunque blindare le comunicazioni se poi il sistema di inviti ai gruppi permette teoricamente a esterni di infiltrarsi?

WhatsApp tenta di rassicurare i più preoccupati affermando che l’ingresso di ogni nuovo utente in un gruppo viene comunque sempre notificato, palesando immediatamente i nuovi elementi sospetti ai membri del gruppo già presenti. Nel frattempo non è chiaro se la società abbia intenzione di risolvere il problema, magari applicando un protocollo di autenticazione all’attuale sistema di inviti. Ad ogni modo, non certo una buona notizia per il colosso della messaggistica, che dopo i problemi avuti con l’applicazione che ne imitava le fattezze, si trova ora a fronteggiare un problema di portata molto importante.

Fonte: Wired.it

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra.

+ info

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi