Un malintenzionato può benissimo buttarti fuori dall’applicazione utilizzando semplicemente il tuo numero di telefono, senza che tu possa fare assolutamente nulla. 

Se utilizzi Whatsapp, ti conviene fare attenzione ad un nuovo attacco in cui i criminali informatici sospendono il tuo account utilizzando solo il tuo numero di telefono. Secondo Forbes, la falla alla base è una mancanza di sicurezza in due processi indipendenti di Whatsapp, citando una ricerca di Luis Márquez Carpintero ed Ernesto Canales Pereña. 

Per capirci, la prima volta che si passa attraverso il processo di configurazione dell’account Whatsapp su un dispositivo, viene richiesto il numero di telefono a cui viene inviato un codice di verifica. Una volta inserito il codice, si procede con l’immettere il numero di autenticazione a due fattori (2FA) per confermare la propria identità. 

Tuttavia, non c'è modo di impedire a qualcuno di utilizzare il tuo numero nel processo di verifica. Se un malintenzionato dovesse farlo, riceverai dei messaggi da Whatsapp con un codice di verifica, insieme a una notifica che ti esorta a non condividere il codice di registrazione con nessuno. Il criminale procede quindi con l’inviare moltissime richieste e i messaggi che ne conseguirebbero, verrebbero probabilmente interpretati come un bug.  

Tutte queste richieste alla fine attivano il limite di Whatsapp al numero di volte in cui i codici possono essere inviati e dopo diversi tentativi sbagliati, anche al blocco dei codici - entrambi per 12 ore.  

Nella fase successiva, l'hacker crea un nuovo indirizzo e-mail e manda una e-mail al supporto tecnico di Whatsapp con su scritto "telefono perso/ rubato" e chiede loro di disattivare il tuo numero. A quanto pare, la piattaforma verificherà “l'identità" dell'hacker solo inviando un'e-mail automatica che richiede di nuovo il tuo numero, e l’hacker dovrà semplicemente inserirlo. Whatsapp sospenderà quindi il tuo account. E dal momento che il limite dei tentativi di verifica è stato raggiunto, non sarai in grado di accedere finché non si esaurirà il blocco delle 12 ore. 

Purtroppo, se l'hacker dovesse abusare del blocco delle 12 ore per tre volte di fila, Whatsapp crasherebbe e invece di chiedere all'utente di "riprovare dopo 12 ore" mostrerà un messaggio "riprova dopo -1 secondo". I ricercatori hanno avvertito che se l'attaccante è disposto ad aspettare così tanto, non esiste modo di riavere indietro il proprio account a meno che non si conosca qualcuno che lavora a Whatsapp disposto ad aiutarci. 

Parlando con Forbes, un portavoce di Whatsapp ha detto che "fornire un indirizzo e-mail con la verifica in due passaggi aiuta il nostro team di assistenza clienti ad aiutare le persone se dovessero mai incontrare questo improbabile problema. Le circostanze identificate da questo ricercatore violerebbero i nostri termini di servizio ed incoraggiamo chiunque abbia bisogno di aiuto, a contattare per e-mail il nostro team di assistenza in modo da far partire un’indagine" 

Il problema ha catturato l'attenzione dell’esperto di ESET Security Jake Moore, che ha recentemente mostrato come “chiunque può prendere il controllo del tuo account Whatsapp solo conoscendo il tuo numero di telefono”. Moore ha avvertito che la nuova falla non va presa alla leggera, soprattutto perché potrebbe avere un impatto su milioni di utenti ed è relativamente facile da realizzare. 

"Non c'è modo di non venir scoperti su Whatsapp", ha detto. "Chiunque può digitare un numero di telefono per individuare l'account associato, se esiste. Idealmente, una mossa verso una maggiore attenzione alla privacy aiuterebbe a proteggere gli utenti da tutto ciò. È necessario, tra l’altro, obbligare le persone ad implementare un PIN di verifica in due fasi." 

Tweet