WhatsApp è senza dubbio il servizio di messaggistica più usato al mondo e ciò significa che ogni singola modifica, così come ogni singola falla di sicurezza, affligge potenzialmente milioni di utenti. A questo proposito, un paio di ricercatori hanno scoperto che è possibile sospendere completamente l’account WhatsApp di qualcuno, senza alcun ricorso da tale utente, semplicemente sapendo il suo numero di telefono.
Al momento della stesura di questo articolo non esiste una soluzione per questo problema. Questo bug è scoperto di recente e utilizza due procedimenti separati.
L’aggressore installa WhatsApp su un nuovo smartphone e inserisce il numero di telefono per attivare l’account. Non può però verificarlo, perché ovviamente il sistema di autenticazione a due fattori invia i codici OTP allo smartphone in cui è inserita la SIM. Dopo più tentativi ripetuti e falliti, però, l’accesso viene bloccato per 12 ore.
Ecco dove arriva la parte difficile: con l’account bloccato, l’hacker invia un messaggio al servizio clienti di WhatsApp dal proprio indirizzo e-mail, sostenendo che il “suo” telefono è stato perso o rubato e che l’account associato al numero deve essere disattivato.
WhatsApp “verifica” questo con un’e-mail di risposta e sospende l’account senza alcun input da parte di nessuno. L’hacker può ripetere il processo più volte di seguito per creare un blocco semipermanente sull’account.
L’attacco è quello che si definisce un “proof-of-concept“, ovvero è una dimostrazione fatta da una coppia di ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, che però non è ancora stata affinata per trasformarla in un attacco di facile portata.
I risultati sono inquietanti ma per lo meno questo metodo non può essere utilizzato per ottenere effettivamente l’accesso a un account. Allo stesso modo, i messaggi di testo riservati e i contatti non vengono esposti.
Non c’è alcuna indicazione che questa tecnica per sospendere deliberatamente un account WhatsApp di una persona stia venendo utilizzata ma quando è stato richiesto un commento ai responsabili di WhatsApp, sono stati evasivi e non hanno indicato se sono già al lavoro per sistemare il bug. Un rappresentante ha affermato che fornire un indirizzo e-mail con le credenziali di autenticazione a due fattori può aiutare a evitare questo ipotetico scenario.
