App

Per bloccare un account WhatsApp basta conoscerne il numero di telefono (foto)

La clamorosa scoperta di due ricercatori potrebbe anticipare tanti abusi di queste falla.
Per bloccare un account WhatsApp basta conoscerne il numero di telefono (foto)
Nicola Ligas
Nicola Ligas

Una coppia di ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, hanno dimostrato una sorta di attacco non particolarmente pericoloso, ma senz'altro molto fastidioso, del quale potrebbe essere vittima qualsiasi utente WhatsApp.

Inizialmente riportato da Forbes, la falla in questione consiste nell'installare WhatsApp su uno smartphone che ne sia privo, e nel cercare di attivare il servizio usando il numero di telefono della vittima. Ovviamente l'attaccante non ci riuscirà, perché il codice di sblocco verrà inviato allo smartphone del legittimo proprietario dell'account; ma, dopo vari tentativi infruttuosi come questo, il login dell'account sarà bloccato per 12 ore.

A questo punto sembra che per l'attaccante sia sufficiente contattare il supporto di WhatsApp via email affermando che il telefono della vittima in questione sia stato perso o rubato, e che quindi l'account ad esso associato vada disattivato. WhatsApp verificherà il tutto con una email all'attaccante e sospenderà l'account della vittima senza ulteriori conferme.

L'attacco sembra quindi di una semplicità disarmante, ma non siamo sicuri che possa funzionare sempre come descritto. Un portavoce di WhatsApp ha dichiarato che fornire un indirizzo di posta elettronica assieme al metodo di autenticazione a due fattori potrebbe aiutare ad evitare questo ipotetico scenario, nel quale WhatsApp non è a conoscenza della vera email della vittima, ma sembra essere più una ipotesi che non una certezza.

Tutto sta insomma nel capire quanto questo sistema sia automatizzato, ma soprattutto manca un metodo alternativo per recuperare/bloccare l'account in modo sicuro, come invece avviene per tanti servizi email che prevedono un account di recupero.

Commenta