Una falla di WhatsApp permette agli amministratori dei server di aggiungere persone ai gruppi

Giuseppe Tripodi Non è un problema enorme, ma di sicuro non fa piacere.

Era il lontano 2014 quando WhatsApp introdusse per la prima volta la criptazione end-to-end basata sul protocollo sviluppato da Open Whisper Systems (gli stessi di Signal); in seguito, nel 2016, un diverso tipo di crittogragia end-to-end venne introdotta anche per i gruppi:  in termini di privacy, la società è sempre stata attenta alle esigenze degi utenti.

Tuttavia, un gruppo di ricercatori della Ruhr-Universität Bochum ha scoperto una falla di sicurezza relativa alle chat di gruppo che affligge WhatsApp, Signal e Threema. Mettiamo subito le mani avanti e precisiamo che non si tratta nulla per cui dovreste preoccuparvi troppo: è più un problema al livello teorico che altro, poiché è una falla davvero difficile da sfruttare per fini malevoli. Inoltre, senza perderci in troppi tecnicismi (per i quali vi rimandiamo eventualmente agli articoli in fonte), per ragioni legate all’implementazione del protocollo di sicurezza, la vulnerabilità è più grave su WhatsApp, ma virtualmente impossibile da exploitare su Signal e Threema.

LEGGI ANCHE: Record per WhatsApp: oltre 75 miliardi di messaggi inviati nella notte di capodanno

Venendo al dunque, il problema riguarda la possibilità di aggiungere membri ad una chat di gruppo senza l’approvazione dell’amministratore, agendo lato server. In sostanza, nella remota ipotesi in cui un malintenzionato riuscisse ad ottenere l’accesso ai server di WhatsApp, potrebbe inserire una persona all’interno di un gruppo privato, senza che questa sia invitata dall’amministratore.

Nonostante si tratti di qualcosa che nessuno si augurerebbe, per fortuna si tratta di una minaccia non troppo grave alla nostra privacy: nell’improbabile scenario in cui una persona venga aggiunta in questo modo su un gruppo, non potrebbe comunque leggere i messaggi inviati in precedenza e tutti gli altri membri riceverebbero una notifica che li avvisa del nuovo membro.

Per gli utenti, insomma non c’è troppo di cui preoccuparsi, ma si tratta comunque di una falla che WhatsApp (ma anche Signal e Threema) dovranno affrontare. Per saperne di più, potete leggere il paper pubblicato dai tre ricercatori o gli approfondimenti linkati in fonte.

Fonte: Wired, CryptographyEngineering
  • May I Survive

    “in cui un malintenzionato riuscisse ad ottenere l’accesso ai server di WhatsApp, ”

    Il fatto che aggiunga persone ai gruppi è l’ultimo dei problemi

    • davide

      In realtà no, parlando appunto di encryption end to end, l’amministratore del server non può fare proprio nulla per leggere i messaggi/impersonare degli utenti o cose peggiori.
      Se davvero fosse l’ultimo dei problemi non sarebbe neanche classificabile come vulnerabilità e invece lo è…

      • May I Survive

        può solo cancellare tutto…

        • davide

          In effetti questo si 😀