WhatsApp, una vulnerabilità mette a rischio il vostro account

whatsapp vulnerabilita disattivare account altrui

Dei ricercatori hanno scoperto una vulnerabilità di WhatsApp: vi possono far bannare l’account conoscendo solo il vostro numero di cellulare

Milioni, o forse Miliardi di account WhatsApp sono ora a rischio disattivazione. Soprattutto dopo il recente leak che ha visto rubare a Facebook ben 533 Milioni di numeri di cellulare, molti dei quali abbinati a WhatsApp.

whatsapp vulnerabilita disattivare account altrui

La storia che vi raccontiamo oggi, con alcune doverose omissioni rispetto all’articolo originale scritto da Forbes con tutti i dettagli possibili ed immaginabili, si basa infatti solo sul conoscere il numero di telefono della vittima. E se ci pensate la cosa fa abbastanza paura, visto che ogni giorno siamo circondati da tantissimi numeri di cellulare, accessibili a tutti.

L’autenticazione a 2 fattori attiva non protegge da questo attacco

Per avviare l’attacco basta uno smartphone, e come detto, un numero di telefono altrui. Questo basta ad  Luis Márquez Carpintero  ed Ernesto Canales Pereña, i 2 ricercatori di sicurezza spagnoli che hanno diffuso l’hack, per bloccare l’account di chiunque.

Occorre scaricare/installare WhatsApp e inserire il numero di cellulare della vittima. Quest’ultima continuerà a ricevere codici di verifica via SMS, codici che la vittima ignorerà. Mentre chi attacca, su WhatsApp, sbaglierà di proposito il codice. Dopo una serie di inserimenti errati, il tempo per ricevere un nuovo codice si allunga sempre di più, fino a raggiungere le 12 ore.

whatsapp disattivare account altrui

Fonte: Forbes

Nessun problema al momento per la vittima, tranne per i fastidiosi SMS da WhatsApp con codici mai richiesti. Ma la popolare app di messaggistica continuerà regolarmente a funzionare, gli unici problemi potrebbero sorgere solo se la vittima dovesse disinstallarlo: a quel punto dovrebbe aspettare le 12h prima di poter richiedere un codice.

A questo punto però c’è il colpo di scena: l’attaccante può semplicemente inviare una mail a WhatsApp, spacciandosi per voi, dicendo di aver perso lo smartphone e chiedendo la disattivazione dell’account. Una risposta che sembra proprio essere automatica conferma la disattivazione: la vittima si ritroverà disconnessa dal suo account e prima di richiedere un nuovo codice per riattivarla dovrà attendere le ore rimanenti, nonostante quel timer sia stato attivato da qualcuno che non è il vero titolare dell’account.

E se scadute le 12h chi vuole distruggere il vostro account WhatsApp inizia nuovamente a richiedere codici per attivare l’app? Dopo una serie di tentativi l’app di blocca definitivamente con un messaggio: “Riprova dopo -1 Secondi” e l’account sarà bannato. La vittima avrà 30 giorni di tempo prima della eliminazione totale del proprio account per contattare WhatsApp e risolvere quindi la questione. Operazione che nella migliore delle ipotesi richiede almeno 48h di tempo.

whatsapp attack

Fonte: Forbes

La cosa bella e assurda di tutta questa storia è che avere l’autenticazione a 2 fattori attiva su WhatsApp non protegge minimamente da un attacco simile, in quanto il codice di sblocco da noi impostato viene richiesto solo ad app installata ed attivata.

Ci auguriamo WhatsApp possa presto mettere una pezza a tutto ciò. Basta davvero poco, come eliminare il countdown o smettere di bloccare l’app dopo molteplici richieste. Ovviamente, tutte le operazioni indicate sono sicuramente tracciate e WhatsApp disporrà di un log degli indirizzi IP che hanno tentato di accedere ad un account altrui indebitamente: pertanto i problemi legali per chi effettua operazioni simili sono probabilmente dietro l’angolo.

Ringraziamo il nostro utente “ra**z” per la segnalazione

Tariffando
Logo