I ricercatori di sicurezza hanno scoperto una nuova vulnerabilità di WhatsApp che consente agli aggressori di bloccarti facilmente fuori dal tuo account.
I ricercatori di sicurezza hanno scoperto una nuova vulnerabilità in WhatsApp che potrebbe spingere più utenti a farlo abbandonare il servizio di messaggistica di proprietà di Facebook. Gli autori malintenzionati possono facilmente sfruttare questa vulnerabilità per bloccarti fuori dal tuo account WhatsApp a tempo indeterminato, rendendolo più di un semplice inconveniente per gli oltre 2 miliardi di utenti del messenger. Ma questa non è la parte peggiore.
Secondo i ricercatori Luis Márquez Carpintero ed Ernesto Canales Pereña (attraverso Forbes), gli aggressori non necessitano di software o formazione speciali per sfruttare questa vulnerabilità. Hanno solo bisogno dell'accesso al tuo numero di telefono. Una volta ottenuto ciò, possono bloccarti fuori dal tuo account WhatsApp senza troppi sforzi. Ed ecco come funziona.
WhatsApp richiede l'autenticazione a due fattori ogni volta che accedi su un nuovo dispositivo. Per questo, il servizio invia un codice di sei cifre al tuo numero di telefono per la verifica. Nel caso in cui inserisci più volte il codice sbagliato, WhatsApp sospende automaticamente il tuo account per 12 ore.
Gli aggressori possono sfruttare questo sistema di autenticazione a due fattori installando WhatsApp su un nuovo dispositivo, inserendo il tuo numero di telefono e inserendo ripetutamente il codice sbagliato. Sebbene ciò ti impedirà di accedere su un nuovo dispositivo per le prossime 12 ore, non influirà sulla tua attuale installazione di WhatsApp. Continuerà a funzionare come previsto.
Per impedirti di accedere a un nuovo dispositivo a tempo indeterminato, un utente malintenzionato deve solo ripetere tre volte i passaggi sopra menzionati. Al terzo ciclo di 12 ore, il timer di sospensione dell'app si interromperà e inizierà a mostrare un timer di "-1 secondi". Una volta rilevato il bug, WhatsApp non ti consentirà più di accedere su un nuovo dispositivo. Tuttavia, l'installazione corrente continuerà a funzionare. Ma l’exploit non finisce qui, poiché può essere incatenato per aumentarne drasticamente l’impatto.
La mossa finale dell'aggressore interromperà anche la tua installazione corrente e verrai bloccato fuori dal tuo account in modo permanente. Per farlo, l’aggressore dovrà semplicemente inviare a WhatsApp un’e-mail chiedendo al servizio di disattivare il tuo numero di telefono. WhatsApp potrebbe inviare una risposta automatica chiedendo all'aggressore di confermare il numero e, una volta confermato, WhatsApp disattiverà automaticamente il tuo account a tua insaputa.
La tua attuale installazione di WhatsApp smetterà di funzionare improvvisamente e vedrai la seguente notifica: "Il tuo numero di telefono non è più registrato su WhatsApp su questo telefono. Ciò potrebbe essere dovuto al fatto che l'hai registrato su un altro telefono. Se non lo hai fatto, verifica il tuo numero di telefono per accedere nuovamente al tuo account." Ora, quando provi a verificare il tuo numero di telefono, vedrai il timer di sospensione "-1 secondi" e non sarai in grado di accedere affatto.
Poiché questo attacco non è sofisticato, chiunque abbia accesso al tuo numero di telefono può facilmente bloccarti fuori dal tuo account WhatsApp nel giro di pochi giorni. Pertanto, WhatsApp deve affrontare immediatamente questo problema evidente.
Il messaggero è già stato avvisato del problema. In risposta alla divulgazione, ha detto un portavoce di WhatsApp Forbes Quello "Fornire un indirizzo email con la verifica in due passaggi aiuta il nostro team di assistenza clienti ad assistere le persone qualora dovessero mai riscontrare questo improbabile problema." Il fatto che WhatsApp consideri questo problema "improbabile" dovrebbe essere una ragione sufficiente per molti utenti ad abbandonare il servizio. Inoltre, il portavoce ha aggiunto che coloro che tentassero l'exploit violerebbero i termini di servizio di WhatsApp. Come se ciò potesse spaventare tutti gli hacker e impedire ai burloni di tentare l'exploit su un utente ignaro.
Invitiamo i nostri lettori a non sfruttare questa vulnerabilità, non perché violare i termini di servizio di WhatsApp ti porterà in prigione, ma perché è una cosa piuttosto schifosa da fare. Inoltre, se sei finalmente pronto per passare a un servizio diverso, dai un'occhiata al nostro guida approfondita sulle alternative a WhatsApp che evidenzia tutti i pro e i contro del passaggio a un'altra piattaforma.