Nuovo problema di privacy per WhatsApp. L’incredibile bug è stato segnalato a Meta, che subito si sta muovendo per proteggere gli utenti.
WhatsApp ad oggi è l’applicazione di messaggistica più utilizzata al mondo, con oltre tre miliardi di utenti attivi. In questi anni, Meta ha cercato di aggiornare continuamente l’applicazione per proteggere la privacy degli utenti. Adesso però è stato segnalato un grave problema che l’azienda che sembra ignorare bellamente.
Tra le applicazioni più aggiornate del Play Store troviamo sicuramente WhatsApp. Nel corso dell’ultimo anno sono numerose le funzioni aggiunte dagli sviluppatori. Nel corso degli ultimi mesi abbiamo visto come abbiano guadagnato sempre più popolarità le Community ed i Canali, che sono riusciti a raggruppare tantissimi utenti sotto un unico interesse. Adesso però Meta potrebbe andare incontro ad un nuovo problema, riscontrato nelle ultime ore.
Nel dettaglio stiamo parlando di un problema di privacy legato a WhatsApp. Sebbene non si tratti di una falla di sicurezza è stato evidenziato da Tal Be’ery, co-fondatore e CTO del produttore di crypto-wallet ZenGo. In un post su Medium, Be’ery ha spiegato come l’introduzione del supporto multi-dispositivo e l’adozione dell’approccio client-fanout abbiano contribuito a rendere il sistema di messaggistica istantanea di Meta meno sicuro, nonostante l’utilizzo della crittografia end-to-end che di solito garantisce un alto livello di sicurezza.
WhatsApp, nuovo problema di privacy: dito puntato contro il multi-dispositivo
Il supporto multi-dispositivo è stato introdotto nel 2021, consentendo agli utenti di utilizzare un dispositivo principale e diversi dispositivi collegati contemporaneamente. Ogni dispositivo, sia il principale che quelli collegati, ha le proprie chiavi crittografiche. Mentre questo approccio fornisce maggiore flessibilità agli utenti ha portato a un problema di privacy.
Il protocollo client-fanout adottato da WhatsApp implica che ogni messaggio venga crittografato separatamente per ogni dispositivo del destinatario. Questo significa che le informazioni sui dispositivi, come l’Identity Key, vengono esposte agli utenti della piattaforma. Nel dettaglio il client Web WhatsApp memorizza la Identity Key dei dispositivi nella memoria locale del browser, fornendo agli aggressori la possibilità di ottenere informazioni sui dispositivi utilizzati.
Così facendo gli aggressori possono identificare il dispositivo principale e quelli collegati attraverso il numero di telefono, esposto in una forma specifica sia per i dispositivi primari che per quelli collegati. Le informazioni sono accessibili anche se il mittente non è nella lista dei contatti del destinatario. I rischi maggiori si presentano quando il numero di telefono è noto, vengono aggiunte le vittime come contatti e si utilizza il client web WhatsApp con accesso alle informazioni sopra citate.
È importante sottolineare che Meta, la società madre di WhatsApp, è stata informata del problema, ma ha ritenuto che non rientrasse nel programma bounty dell’azienda. Ciò solleva preoccupazioni sulla gestione del problema da parte dell’azienda, poiché l’esposizione delle informazioni sui dispositivi potrebbe essere sfruttata da potenziali aggressori. Come detto però, al momento Meta ancora deve prendere alcun provvedimento a riguardo, con la società che potrebbe lanciare una patch a breve.
