WhatsApp: Scoperta una vulnerabilità che permette di sospendere qualsiasi account usando il numero di telefono.

Nella giornata di ieri alcuni esperti di sicurezza dell'ESET, (storica azienda di informatica produttrice anche dell'antivirus NOD32), hanno annunciato di aver scovato una nuova vulnerabilità all'interno di WhatsApp che permette a chiunque sia in grado di sfruttarla di sospendere l'account di qualsiasi utente: per farlo, infatti, basta semplicemente conoscere il numero di telefono del malcapitato; mentre per difendersi non è sufficiente neppure l'autenticazione a due fattori. Inoltre, sebbene i responsabili della famosa applicazione de messaggistica istantanea abbiano voluto rassicurare subito i propri utenti precisando che il rischio che qualcuno sfrutti fino in fondo questo tipo di vulnerabilità è estremamente basso, gli esperti di sicurezza, (guidati da Jake Moore), hanno fatto sapere che non si tratta di certo di un tipo di attività da sottovalutare. Ad ogni modo, secondo quanto hanno riportato i ricercatori dell'ESET in un post pubblicato sul loro blog ufficiale, chi realizza questo tipo di attacco installa WhatsApp su un nuovo smartphone ed inserisce il numero di telefono dell'account che vuole bloccare durante la prima configurazione: a questo punto il servizio invia tramite SMS un codice di verifica al numero di telefono della vittima, la quale però non saprà cosa farsene. In pratica l'intendo del cybercriminale è quello di continuare ad inserire dei codici errati, (nella speranza che il legittimo proprietario ignori le notifiche sul suo smartphone, non avendo la più pallida idea di cosa stia succedendo), così che WhatsApp non possa accettarli e ne rimandi di nuovi: naturalmente dopo un certo numero di tentativi falliti, il sistema noterà che c'è qualcosa che non va e bloccherà la possibilità di chiedere/ricevere nuovi codici per 12 ore. Ma non è tutto poiché una volta fatto ciò l'hacker passa alla seconda fase dell'attacco, creando un indirizzo e-mail dal quale invia al servizio di supporto di WhatsApp una segnalazione che il "suo" smartphone è stato perso o rubato, (ovviamente anche in questo caso il numero di telefono indicato sarà quello della vittima), chiedendo quindi la sospensione dell'account ad esso associato. Per di più considerando che generalmente il tutto avviene con una procedura automatizzata, (ed è proprio in questo che risiede la vulnerabilità appena scoperta), il sistema di gestione degli account darà per scontato che il mittente dell'e-mail sia il legittimo proprietario dell'account WhatsApp, prenderà per buona la storia dello smarrimento o del furto e disattiverà il profilo legato al numero indicato dal malintenzionato. Tuttavia, anche se a questo punto la vittima si accorgerà di quanto successo, (perché sarà buttata fuori dal proprio profilo improvvisamente), e proverà a recuperare il suo account tramite la ri-autenticazione con un codice di verifica, il servizio non risulterà essere disponibile per diverse ore a causa del suddetto blocco di 12 ore indotto appositamente dall'hacker nella prima fase dell'attacco. In merito a ciò gli esperti dell'ESET hanno spiegato che, se da un lato è vero che basterebbe attendere lo scadere delle 12 ore per potersi riappropriare del proprio account, dall'altro è anche vero che un malintenzionato può operare in maniera costante contro un determinato numero, ripetendo più volte l'attacco, e riuscendo alla fine ad ottenere il blocco permanente dell'account: difatti si è visto che se il cybercriminale riesce a ripetere il processo tre volte di fila, un'altro bug di WhatsApp manda in tilt il conto alla rovescia che da 12 ore passerà a -1 secondo; ciò bloccherà per sempre la possibilità di riattivare l'account ed all'utente non rimarrà altro che provare a raggiungere il supporto tecnico via e-mail nonostante questa strada sia già stata percorsa dall'hacker, e sperare in una risposta positiva. Al riguardo un portavoce del servizio di messaggistica istantanea ha spiegato: "Fornire un indirizzo e-mail con la verifica in due passaggi aiuta il nostro team di assistenza clienti ad assistere le persone se dovessero mai incontrare questo improbabile problema. Le circostanze identificate da questo ricercatore violerebbero i nostri termini di servizio ed incoraggiamo chiunque abbia bisogno di aiuto ad inviare un'e-mail al nostro team di supporto in modo da poter indagare". Comunque sia questo tipo di attacco è differente da quelli documentati finora: non cerca, infatti, di ottenere la fiducia del maggior numero di utenti possibile per truffarne una percentuale, ma bensì è diretto a persone specifiche ed ha il preciso scopo di impedire loro di utilizzare WhatsApp; il che dovrebbe rassicurare in qualche modo la maggior parte delle persone, anche se in realtà la facilità con la quale si può portare a termine è abbastanza preoccupante. A tal proposito lo stesso Jake Moore ha, infine, concluso precisando: "Non c'è modo di evitare di essere scoperti su WhatsApp. Chiunque può digitare un numero di telefono per individuare l'account associato, se esiste. Idealmente uno spostamento verso una maggiore attenzione alla privacy aiuterebbe a proteggere gli utenti da questo, oltre a costringere le persone ad implementare un PIN di verifica in due passaggi".