Generalmente WhatsApp è una delle piattaforme di messaggistica più sicure che gli utenti hanno a disposizione, soprattutto gli utenti europei godono tra l’altro di rigide protezioni garantite proprio dalle leggi presenti in Europa che sono decisamente molto stringenti per quanto riguarda la protezione dei dati, a quanto pare però questo dogma di recente è stato sconvolto dal team di ricercatori dell’Università di Vienna guidato da Aljosha Judmayer, questi ultimi infatti hanno scoperto la presenza di una falla di sicurezza che consente in via teorica l’esposizione di circa 3,5 miliardi di utenti, un dato decisamente sorprendente e ovviamente preoccupante.
Falla già conosciuta
Il team ha scovato e sfruttato, per puri scopi di studio, una falla presente all’interno di WhatsApp che incredibilmente era già stata segnalata da un utente indipendente alla società nel 2017, questa falla ha permesso al team scientifico di estrarre circa 30 milioni di numeri di telefono in appena 30 minuti, un valore preoccupante vista l’estrema efficienza del processo.
Nello specifico, la falla utilizzata dal team dell’università ha sfruttato l’assenza di rate limiting nelle query di verifica dei contatti, una protezione che normalmente dovrebbe essere alla base di qualsiasi applicazione di messaggistica correlata al numero di telefono, detto in parole povere, il team di sviluppo ha sfruttato la funzione di ricerca di WhatsApp tramite numero di telefono, la piattaforma infatti fa un semplice confronto diretto tra il numero di telefono digitato nell’apposito campo di ricerca e l’eventuale presenza di un account correlato, mostrando alle volte anche nome della persona e immagine del profilo.
Il trucco è consistito nel poter completamente automatizzare il processo inserendo milioni di quelli che facevano da contro confronto tra i numeri di telefono inseriti e la loro effettiva presenza all’interno della piattaforma, il sistema infatti non vietava nessun modo di automatizzare il processo, erano infatti completamente assenti, strumenti di controllo come CAPTCHA o altro.
Ovviamente si tratta di una vera e propria negligenza tecnica difficile da giustificare, ma della quale sicuramente WhatsApp dovrà rendere conto soprattutto ai vertici europei che mettono la privacy assolutamente al primo posto.
