Circa due anni fa WhatsApp ha deciso di introdurre nelle chat la cosiddetta crittografia end-to-end in modo da proteggere le conversazioni e garantire la privacy degli utenti, ma a quanto pare l'applicazione di messaggistica istantanea più famosa al mondo non è sicura al 100%. O almeno questo è quanto ha fatto sapere, tramite uno studio mostrato in questi giorni durante la conferenza Real World Crypto, un gruppo di ricercatori della Ruhr-Universität Bochum, i quali hanno scoperto una vulnerabilità che potrebbe essere sfruttata per ottenere l'accesso ai server ed aggiungere nuovi membri ad una chat di gruppo, senza il permesso dell'amministratore. In pratica, come spiegato dagli stessi ricercatori, le probabilità di eseguire un attacco che permetta di "infiltrare" una persona nelle chat di gruppo sono molto basse: si dovrebbero compromettere i server di WhatsApp, ai quali possono accedere solo alcuni dipendenti dell'azienda, i governi, (con un ordine del giudice), ed hacker di alto livello. Tuttavia ciò non toglie il fatto che le chat di gruppo siano tecnicamente vulnerabili e per questo motivo viene meno l'utilità della suddetta crittografia end-to-end e di conseguenza i malintenzionati potrebbero leggere le conversazioni. Tra l'altro i ricercatori tedeschi hanno anche spiegato che attualmente quando l'amministratore del gruppo invita nuovi membri non viene utilizzato alcun meccanismo di autenticazione e quindi, come già anticipato, sarebbe possibile accedere al server ed aggiungere una persona, senza l'interazione dell'amministratore: a questo punto gli smartphone degli altri membri condivideranno le chiavi segrete con il nuovo membro, consentendogli l'accesso a tutti i messaggi futuri, (fortunatamente i messaggi precedenti rimarranno protetti). Naturalmente ogni partecipante alla chat di gruppo vedrà l'avviso relativo all'aggiunta del nuovo membro, ma ottenendo il controllo del server è possibile decidere quali messaggi inviare ed anche impedire all'amministratore di rimuovere dal gruppo la persona indesiderata. Ad ogni modo Moxie Marlinspike, fondatore di Open Whisper Systems nonché creatore della crittografia end-to-end impiegata all'interno delle chat di WhatsApp, ha affermato che l'attuale funzionamento del servizio rappresenti un ragionevole compromesso tra sicurezza e semplicità. Mentre i ricercatori dell'ateneo tedesco hanno suggerito l'aggiunta di un meccanismo di autenticazione per l'invito di partecipare al gruppo: ad esempio, secondo gli stessi ricercatori, l'introduzione di un chiave segreta, nota solo ed esclusivamente all'amministratore del gruppo, potrebbe, infine, permettere di provare l'identità dei nuovi membri e bloccare l'accesso agli eventuali "ospiti indesiderati".
Circa due anni fa WhatsApp ha deciso di introdurre nelle chat la cosiddetta crittografia end-to-end in modo da proteggere le conversazioni e garantire la privacy degli utenti, ma a quanto pare l'applicazione di messaggistica istantanea più famosa al mondo non è sicura al 100%. O almeno questo è quanto ha fatto sapere, tramite uno studio mostrato in questi giorni durante la conferenza Real World Crypto, un gruppo di ricercatori della Ruhr-Universität Bochum, i quali hanno scoperto una vulnerabilità che potrebbe essere sfruttata per ottenere l'accesso ai server ed aggiungere nuovi membri ad una chat di gruppo, senza il permesso dell'amministratore. In pratica, come spiegato dagli stessi ricercatori, le probabilità di eseguire un attacco che permetta di "infiltrare" una persona nelle chat di gruppo sono molto basse: si dovrebbero compromettere i server di WhatsApp, ai quali possono accedere solo alcuni dipendenti dell'azienda, i governi, (con un ordine del giudice), ed hacker di alto livello. Tuttavia ciò non toglie il fatto che le chat di gruppo siano tecnicamente vulnerabili e per questo motivo viene meno l'utilità della suddetta crittografia end-to-end e di conseguenza i malintenzionati potrebbero leggere le conversazioni. Tra l'altro i ricercatori tedeschi hanno anche spiegato che attualmente quando l'amministratore del gruppo invita nuovi membri non viene utilizzato alcun meccanismo di autenticazione e quindi, come già anticipato, sarebbe possibile accedere al server ed aggiungere una persona, senza l'interazione dell'amministratore: a questo punto gli smartphone degli altri membri condivideranno le chiavi segrete con il nuovo membro, consentendogli l'accesso a tutti i messaggi futuri, (fortunatamente i messaggi precedenti rimarranno protetti). Naturalmente ogni partecipante alla chat di gruppo vedrà l'avviso relativo all'aggiunta del nuovo membro, ma ottenendo il controllo del server è possibile decidere quali messaggi inviare ed anche impedire all'amministratore di rimuovere dal gruppo la persona indesiderata. Ad ogni modo Moxie Marlinspike, fondatore di Open Whisper Systems nonché creatore della crittografia end-to-end impiegata all'interno delle chat di WhatsApp, ha affermato che l'attuale funzionamento del servizio rappresenti un ragionevole compromesso tra sicurezza e semplicità. Mentre i ricercatori dell'ateneo tedesco hanno suggerito l'aggiunta di un meccanismo di autenticazione per l'invito di partecipare al gruppo: ad esempio, secondo gli stessi ricercatori, l'introduzione di un chiave segreta, nota solo ed esclusivamente all'amministratore del gruppo, potrebbe, infine, permettere di provare l'identità dei nuovi membri e bloccare l'accesso agli eventuali "ospiti indesiderati".
Commenti
Posta un commento