Whatsapp “cavallo di Troia” per truffe online, fake news, manipolazioni del testo e dell’identità. Sono alcune delle falle rivelate dal team di ricerca di Check Point Software Technologies, fornitore di soluzioni di cybersecurity, che è riuscito a decodificare il codice sorgente della piattaforma e decifrarne il traffico.
Secondo Check Point le vulnerabilità del sistema consentono di “ingannare gli utenti finali” con strumenti di social engineering. WhatsApp conta al momento oltre 1,5 miliardi di utenti in oltre 180 Paesi. L’utente medio controlla Whatsapp più di 23 volte al giorno e si prevede che il numero di utenti di Whatsapp negli Usa salirà a 25,6 milioni entro il 2021. “Considerato il numero di utenti e conversazioni – ricorda Check Point in occasione del Black Hat 2019 – il potenziale per truffe online, indiscrezioni e fake news è enorme. I malintenzionati hanno infatti un’arma nel proprio arsenale per sfruttare la piattaforma di messaggistica per i loro scopi malevoli”.
Il sistema di crittografia end-to-end utilizzato da Whatsapp punta a “blindare” le conversazioni. Tuttavia il team di ricerca ha notificato alla società tre tipi di vulnerabilità riscontrate. In particolare un hacker può usare la funzione “citare” in una conversazione di gruppo per cambiare l’identità del mittente, anche se questa persona non è parte del gruppo e modificare il testo della risposta di qualcun altro, essenzialmente mettendogli delle parole in bocca.
Ma solo una terza vulnerabilità – inviare un messaggio privato a un altro partecipante del gruppo, che però sembra un messaggio pubblico per tutti – è stata corretta.
Secondo il team di Check Point Research queste vulnerabilità sono critiche e richiedono attenzione. Per dimostrare la gravità delle “falle” è stato creato uno strumento che consente di decifrare la comunicazione di WhatsApp e di alterare i messaggi.
