WhatsApp, uno dei sistemi di messaggistica istantanea per smartphone e cellulari più utilizzati al mondo (con oltre 25 miliardi messaggi ogni giorno), stando agli ultimi test effettuati mostra evidenti falle di sicurezza nel proprio sistema di funzionamento. Nelle ultime versioni è stato adottato un sistema di crittografia che però è risultato facilmente aggirabile. Qualche tempo fa alcuni ricercatori sul blog FilePerms hanno effettuato un reverse engineering dell'app, e partendo dall'interfaccia sono risaliti al codice di programmazione rilevando come il software lavori in chiaro senza utilizzare sistemi di crittografia.
Alle numerose critiche susseguite all'esperimento, l'azienda proprietaria dell'applicazione ha risposto elaborando un sistema di crittografia che però si è rivelato comunque facilmente aggirabile (è stato dimostrato che i messaggi sono intercettabili e che è possibile produrre delle comunicazioni utilizzando il numero telefonico di altre persone). Un ricercatore ha dimostrato in maniera abbastanza convincente che le ultime versioni del client WhatsApp per Nokia S40 e Android e sono vulnerabili a questo problema.
Secondo Thijs Alkemade, che sul suo blog ha pubblicato un'analisi precisa, uno degli errori consiste nell'utilizzo della stessa chiave RC4 per la codifica dei messaggi in entrambe le direzioni. Utilizzando la funzione XOR, è possibile rilevare molte informazioni utili che aiutano a decodificare i dati. Dopo la prima fase di autenticazione tra client e server, un secondo errore consisterebbe nell'uso della stessa chiave anche per la protezione dei successivi messaggi scambiati con l'applicazione e protetti mediante HMAC.
"Si dovrebbe prendere in considerazione che tutte le precedenti conversazioni WhatsApp possono essere state compromesse. Non c'è nulla che un utente WhatsApp può fare su questo, se non smettere di usarloa fino a quando gli sviluppatori non avranno risolto il problema con un aggiornamento. Ci sono molte insidie, quando viene sviluppato un protocollo di crittografia streaming", ha dichiarato Alkemade. Con WhatsAppSniffer era possibile sfruttare questa falla di sicurezza, permettendo di leggere le conversazioni di altre persone connesse a una rete Wi-Fi.
L'azienda tedesca Curesec ha addirittura invitato gli utenti a non utilizzare l’app, mentre esperti e addetti ai lavori hanno posto il problema su basi più generali: "Si è sicuri usando WhatsApp? La domanda è: sicuro da cosa? - ha dichiarato a riguardo Stefano Zanero, professore del Politecnico di Milano - "Discutere in generale della vulnerabilità delle app non ci porta lontano. Sono state vulnerabili, lo saranno probabilmente in futuro". Proprio in queste ore il sito di Whatsapp ha subito un attacco hacker, insieme a quelli di Avg e Avira, e al momento risulta offline.
Le stesse criticità rilevate su WhatsApp sono state poi riscontrate a proposito di WeChat, app di messaggistica istantanea cinese sempre più usata in Italia e nel mondo. Molto simile a WhatsApp in quanto a funzionamento, l'app mostrava (almeno fino alla versione 4.5.1) alcuni bug legati alla sicurezza, con l'informatico Roberto Paleari ad aver dimostrato che una funzione dell'app, in teoria destinata agli sviluppatori, permette di intercettare le password degli account installati sullo smartphone. Il 5 agosto 2013, Tencent ha rilasciato la versione 5.0, che ha introdotto alcune importanti modifiche e miglioramenti alla sezione sicurezza.
Fonte: Assodigitale
Via: Trouw
Nessun commento:
Posta un commento