WhatsApp, falla permette di sospendere i profili altrui sapendo solo il numero di telefono

Recentemente è stata scoperta una nuova falla all’interno di WhatsApp che permetterebbe a un utente malintenzionato di portare l’account di una persona qualsiasi alla sospensione definitiva senza possibilità di ricorso, semplicemente conoscendo il numero di telefono della vittima.

Questa scoperta giunge da due ricercatori in ambito cybersecurity, Luis Márquez Carpintero ed Ernesto Canales Pereña, i quali avrebbero parlato con Forbes per segnalare agli internauti un nuovo metodo articolato, ma apparentemente funzionante al 100%, di sospensione degli account di utenti casuali.

Tutto ciò che serve al malintenzionato in questione è il numero di telefono dell’utente bersaglio, che verrà usato dall’aggressore per attivare l’account del servizio di chat su un nuovo dispositivo. Ovviamente le misure di sicurezza di WhatsApp richiederanno l’accesso al sistema di autenticazione a due fattori, il quale invia le richieste d’accesso allo smartphone su cui risulta attiva la piattaforma.

Qui, però, entra in gioco lo step fondamentale per sospendere l’account d’interesse: dopo il blocco dell’accesso in seguito ai ripetuti tentativi da parte dell’aggressore, quest’ultimo invierà una richiesta di supporto tramite e-mail ai gestori di WhatsApp sostenendo che lo smartphone ove il servizio è attivo è stato perso o rubato. Dopo avere inviato una nuova e-mail di risposta al mittente per “verificare” l’autenticità della richiesta, ecco che la piattaforma sospenderà l’account senza interpellare l’utente vittima di questo attacco.

È doveroso chiarire che questo metodo permette solamente di bloccare l’accesso all’account al legittimo proprietario, ergo dati sensibili come messaggi riservati o informazioni sui contatti non verranno esposti e il malintenzionato non otterrà a sua volta l’accesso al profilo. Ciononostante, le sfortunate vittime si troverebbero in una situazione alquanto scomoda senza una soluzione definitiva.

Ebbene sì: alle richieste di commento da parte di Forbes e dei succitati ricercatori i gestori del servizio di Mark Zuckerberg avrebbero risposto in maniera piuttosto evasiva senza indicare come essi stiano effettivamente cercando di risolvere il problema. Un rappresentante in particolare avrebbe affermato che questa vulnerabilità viola i termini di servizio della piattaforma e che ogni azione di questo tipo sarebbe perseguibile, però questo avvertimento non spaventerebbe alcun malintenzionato dato che basterebbe usare un’e-mail anonima usa e getta per questo intento e poi svanire nel nulla.

Per ora, insomma, manca un modo per affrontare questi attacchi sia dal punto di vista aziendale che dell’utente, lasciato quindi in alto mare nel caso si verifichi questo specifico problema.

Nel mentre, gli sviluppatori dell’applicazione stanno lavorando su WhatsApp Business per introdurre novità importanti lato e-commerce; o ancora, a breve arriverà un piccolo tweak piuttosto utile per la condivisione di foto e video in chat.