Una debolezza di WhatsApp potrebbe rivelare tutti i vostri messaggi

La comodità in campo informatico si sa, rende insicuri. Qualche giorno fa è toccato alla celebre APP di messaggistica…

Anche se molti esperti di sicurezza informatica e gli stessi sviluppatori si sono affrettati a definire la debolezza una CARATTERISTICA, non hanno potuto smentire che, volendo la stessa società o un hacker potrebbero leggere tutti i messaggi che intercorrono tra due utenti.

WhatsApp utilizza lo stesso protocollo di Signal, ma Signal è estremamente sicuro perché implementa il protocollo nella maniera corretta, WhatsApp invece offre una caratteristica particolare, comoda, ma che lo rende insicuro.
Spieghiamoci con un esempio.
WhatsApp utilizza la crittografia end-to-end, quindi se A e B vogliono comunicare si scambiano le proprie chiavi PUBBLICHE attraverso il server di WhatsApp, una volta effettuato lo scambio ognuno cifra i messaggi utilizzando un mix tra le chiavi. Per es A invia messaggi a B cifrandoli con la chiave privata ( di A ) e la pubblica di B – B decifra i messaggi utilizzando la chiave privata ( di B ) e quella pubblica di A.
Fin qui niente di nuovo, ora arriva la caratteristica di WhatApp
Mettiamo che B voglia cambiare smartphone e A continui a scrivere messaggi. Quando B attiverà lo stesso account WhatsApp sul nuovo smartphone, otterrà ovviamente una coppia di chiavi ( pubblica e privata ) nuove … ma come per magia potrà leggere tutti i vecchi messaggi e ricevere anche quelli in sospeso.
Questo perché, quando l’utente B torna di nuovo on-line, WhatsApp scambia automaticamente nuove chiavi di B e richiede al WhatsApp di A di ri-codificare i messaggi per B utilizzando la chiave pubblica di recente ricevuta da B.

Se un hacker (supponiamo utente C) sostituisse intenzionalmente la chiave pubblica di B con la propria, tutti i messaggi non consegnati saranno automaticamente ri-codificati e consegnati a C e potranno essere decifrati solo con la chiave privata dell’utente C (hacker).Al momento non si sta pensando a come risolvere la falla di sicurezza che questa comoda caratteristica ha generato.

Nel frattempo, se la privacy vi preoccupa, cominciate ad utilizzare SIGNAL

Alessandro Giacani

Alessandro Giacani

CEO @ Nukecommerce ltd, Full Stack Developer.
Scovo problemi complicati – fornisco soluzioni semplici.
Chatta con me question_answer