Come funziona il bug di WhatsApp che può farci perdere l'account
Basta conoscere il numero di telefono associato ad un profilo WhatsApp per prendere possesso di quell'account, WhatsApp lo sa ma ritiene questo attacco improbabile.
Prendere possesso di un account WhatsApp è molto più semplice di quanto si possa pensare e non basta l’autenticazione a due fattori per impedire ad un malintenzionato di farlo. Lo hanno scoperto due ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, che hanno mostrato la procedura a Forbes.
Procedura è proprio la parola corretta, perché tecnicamente non si tratta di un vero e proprio bug: WhatsApp prevede infatti una precisa trafila per verificare gli account che, però, permette a chiunque il “take over” dell’account. Basta solo conoscere il numero di telefono della vittima e avere un indirizzo email valido. Non solo l’autenticazione a due fattori non basta a proteggere l’account, ma è proprio il grimaldello che permette di entrare in possesso del profilo WhatsApp di chiunque altro nel giro di pochissimo tempo. WhatsApp è al corrente di questo problema ma ritiene lo scenario ipotizzato da Carpintero e Pereña “improbabile“.
Perché gli account WhatsApp sono a rischio
Questo “bug“, o trucco per meglio dire, si basa sulla procedura per cambiare telefono su WhatsApp. L’attaccante, in pratica, non deve fare altro che installare da zero WhatsApp su un nuovo telefono e indicare il nostro numero di telefono in fase di attivazione del profilo.
WhatsApp, come da procedura, invierà un codice di verifica al numero indicato (cioè il nostro) e l’attaccante dovrà inserirlo nel nuovo telefono per sbloccare il passaggio da un dispositivo all’altro. Ma l’attaccante non ha accesso al nostro telefono e, quindi, inserirà sempre codici sbagliati fino a quando WhatsApp non bloccherà l’account per sicurezza per 12 ore.
E’ questo il primo step del modo in cui WhatsApp implementa l’autenticazione a due fattori, ma non è sufficiente a proteggere il profilo degli utenti. L’attaccante, infatti, subito dopo il blocco dell’account per sicurezza invierà una email al supporto tecnico di WhatsApp affermando che il vecchio telefono (che in realtà è il nostro) è stato rubato o perso.
WhatsApp, come appurato da Carpintero e Pereña, si limita a verificare l’autenticità dell’email e sblocca il profilo sul nuovo telefono. A questo punto il malintenzionato ha il pieno controllo del nostro account WhatsApp.
Furto del profilo WhatsApp: come difendersi
Il problema di questo bug di WhatsApp è che non c’è modo reale di difendersi. Dopo che il nostro profilo è stato passato da un telefono all’altro, infatti, noi riceveremo all’interno dell’app un messaggio che ci dice che l’account è stato disattivato.
Per riattivarlo dovremo fare la stessa manovra fatta dall’attaccante: immettere più volte un codice sbagliato, far entrare in protezione per 12 ore l’account e inviare una email a WhatsApp. E funzionerà, ma solo finché l’attaccante non farà nuovamente la procedura.
Secondo i due ricercatori WhatsApp tollera al massimo tre cicli del genere, poi perderemo definitivamente il profilo.
Cosa risponde WhatsApp
WhatsApp è stata informata di questo problema, che permette virtualmente a tutti di prendere il possesso di qualunque account.
La risposta di WhatsApp è stata che “fornire un indirizzo email per la verifica in due passaggi aiuta il nostro team del servizio clienti ad assistere le persone nel caso dovessero riscontrare questo improbabile problema. Le circostanze identificate da questi ricercatori violerebbero i nostri termini di servizio e incoraggiamo chiunque abbia bisogno di aiuto a inviare un’email al nostro team di supporto in modo che possiamo indagare“.