WhatsApp ha sempre permesso di verificare se un numero di telefono fosse registrato al servizio, mostrando — quando impostati come pubblici — foto profilo, stato e altre informazioni basilari. Una funzione comoda per l’esperienza quotidiana, ma potenzialmente sfruttabile senza restrizioni adeguate. È proprio su questo aspetto che si è concentrato un gruppo di ricercatori dell’Università di Vienna, dimostrando come il meccanismo possa essere impiegato per operazioni di scraping su scala gigantesca.
Utilizzando la versione web dell’app, il team è riuscito a verificare fino a 100 milioni di numeri all’ora, senza incontrare blocchi o limiti. Il risultato è stato la creazione di un archivio contenente 3,5 miliardi di utenze registrate, con foto profilo recuperate nel 57% dei casi e testi “info” nel 29%. Una tecnica estremamente semplice, già segnalata nel 2017 ma rimasta senza una soluzione definitiva per anni.
Il riconoscimento di Meta e i tempi lenti delle contromisure
Meta ha confermato la collaborazione con gli studiosi attraverso il programma Bug Bounty, precisando che i dati raccolti erano esclusivamente pubblici e che la crittografia end-to-end non è mai stata compromessa. L’azienda ha aggiunto che i ricercatori hanno eliminato tutte le informazioni acquisite e che lo studio ha contribuito a mettere alla prova sistemi anti-scraping già in sviluppo.
Resta però un elemento critico: la vulnerabilità è stata segnalata ad aprile e un vero sistema di rate-limiting efficace è arrivato solo a ottobre. Fino a quel momento, interrogazioni automatizzate e massive erano pienamente realizzabili, esponendo l’intera base utenti a una raccolta sistematica.
Una storia che parte dal 2017
Il nuovo studio non fa altro che confermare una problematica nota da tempo. Già nel 2017 il ricercatore olandese Loran Kloeze aveva segnalato la possibilità di verificare numeri e ottenere dettagli pubblici senza incontrare alcun limite. All’epoca Meta non aveva ritenuto la segnalazione idonea per il proprio Bug Bounty, spiegando che il comportamento era coerente con le impostazioni sulla privacy dell’app.
Il lavoro dell’Università di Vienna dimostra che nulla è cambiato per anni, e anzi la stessa tecnica ha potuto essere estesa su una scala molto più ampia, fino a coprire virtualmente tutta la base globale di WhatsApp. I ricercatori hanno analizzato anche le chiavi pubbliche associate agli account, rilevando anomalie dovute a client non ufficiali o modificati: chiavi identiche per centinaia di account, e perfino venti numeri statunitensi con una chiave composta interamente da zeri. Si tratta di irregolarità che non intaccano la crittografia end-to-end dell’app originale, ma mostrano la diffusione di ecosistemi paralleli spesso legati a spam e frodi.
Il possibile cambio di paradigma: dagli ID telefonici agli username
Il lavoro dei ricercatori apre una riflessione sulla natura stessa della registrazione. Basare l’identità degli utenti su un numero di telefono, un dato personale e facilmente verificabile, espone a rischi strutturali. Per anni la protezione si è affidata al rate-limiting, uno strumento utile ma non risolutivo.
Negli ultimi mesi WhatsApp ha iniziato a testare un sistema basato sugli username, un identificativo unico che permette di essere trovati senza condividere il proprio numero. Una novità che risponde direttamente alle criticità emerse e che potrebbe rappresentare un passaggio significativo verso un modello più sicuro e meno legato alla numerazione personale.
