WhatsApp down per quattro ore, esperti trovano nuove vulnerabilità


WhatsApp, il noto servizio di messaggistica istantanea acquistato da Mark Zuckerberg per 19 miliardi di dollari, è tornato a funzionare dopo un black out di 210 minuti per problemi al server. "Il servizio di WhatsApp è stato ripristinato. Siamo dispiaciuti per il tempo di inattività", afferma WhatsApp su Twitter. "Spiacenti stiamo avendo problemi di server, speriamo di poter tornare e recuperare presto": così WhatsApp sul suo profilo Twitter si è giustificata del disservizio che ha colpito la chat bloccando milioni di utenti, senza fornire ulteriori dettagli.

Dalle 19,20 alle 23,30 di sabato 22 febbraio, WhatsApp non ha permesso di inviare o ricevere messaggi e le lamentele si sono riversate su Facebook e Twitter. L'hashtag #watsappdown è arrivato subito ai primi posti delle tendenze Twitter per la grande mole di proteste. Non è la prima volta che accade che Whatsapp vada giù (era già successo il 3 novembre scorso), ma l'attacco ai server e non un disservizio momentaneo fa presupporre qualcosa di più importante. In rete è corso il sospetto che si sia trattato di un attacco hacker, mirato nei confronti di Zuckerberg. 

Tuttavia, secondo TechCrunch, il problema potrebbe essere dovuto ad un aumento delle iscrizioni e all'utilizzo, che ha sovraccaricato i server di WhatsApp, dopo l'annuncio dell'acquisizione. Snapchat, un altro servizio di IM, ha preso un duro colpo da parte di hacker, quando 4,6 milioni di account degli utenti sono stati esposti in una violazione pubblica di sicurezza. Dopo i problemi di WhatsApp sulle intercettazioni dei messaggi, gli esperti di sicurezza hanno rivelato una serie di vulnerabilità, che hanno catalogato esattamente come "piacerebbero alla NSA".

I problemi di sicurezza sono state individuati dalla società Praetorian, nuova applicazione mobile che effettua test di sicurezza attraverso il progetto Neptune. Sono stati individuati un totale di quattro buchi di sicurezza SSL-related. In primo luogo, i ricercatori hanno scoperto che WhatsApp non esegue SSL pinning quando si stabilisce una connessione attendibile tra le applicazioni mobili e servizi web di back-end. Senza applicare SSL pinning, un utente malintenzionato potrebbe lanciare un attacco (MitM) man-in-the-middle tra la connessione dell'applicazioni mobile e i servizi web di back-end. 

Ciò consentirebbe all'utente malintenzionato di intercettare le credenziali dell'utente, identificativi di sessione, o altre informazioni sensibili. La seconda questione si riferisce alla esportazione della cifratura SSL che sostiene di essere attivata. Ciò consente a un utente malintenzionato il downgrade della crittografia a 40-bit o 56-bit DES, rendendo le comunicazioni più vulnerabili ad attacchi di brute-force. Oltre a supportare cifrari di esportazione, WhatsApp supporta anche cifrari nulli, che sono dati che dovrebbero essere codificati, ma in realtà non lo sono. Null Ciphers non eseguono alcuna crittografia. 

Cioè, semplicemente copiano il flusso di input nel flusso di output senza alcuna modifica. "Con cifrari nulli sostenuti se il client dell'applicazione mobile tenta di comunicare con il server utilizzando SSL ed entrambe le parti non supportano alcuna cifratura suite comune, come risultato di una intercettazione, sarebbe allora dannoso ripiegare all'invio dei dati in chiaro, testo normale. Sostenere cifrari nulli non è qualcosa in cui ci imbattiamo spesso ed è abbastanza raro", hanno spiegato gli esperti. Infine, WhatsApp ha il supporto del protocollo SSLv2 abilitato. 

Questa versione ha un certo numero di punti deboli e gli esperti raccomandano contro il suo uso perché è suscettibile di attacchi MITM. Poco dopo essere stato informato di questi problemi, WhatsApp ha affrontato tre di loro. Praetorian ha confermato che queste vulnerabilità sono state corrette. L'unico difetto che rimane slegato è l'applicazione pinning SSL, ma l'azienda dice che sta lavorando per aggiungerla al client. WhatsApp ha 450 milioni di utenti attivi al mese ed è la chat più popolare al mondo, con un ritmo di crescita di un milione di nuovi iscritti ogni 24 ore.

Nessun commento:

Posta un commento