Check Point, messaggi di WhatsApp manipolati: bug in chat gruppo


In un’epoca di fake news dilaganti in rete, di attacchi alla libertà di stampa e di progressiva svalutazione del lavoro dei giornalisti, non sono solo Facebook e Twitter a farsi potenziali veicoli di disinformazione. Check Point Software Technologies, uno dei principali fornitori mondiali di soluzioni di cybersecurity, ha scoperto una nuova falla di WhatsApp che permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all’interno dei gruppi di discussione o delle chat private. Gli hacker potrebbero sfruttare questa vulnerabilità non solo dirottando la conversazione a loro vantaggio, ma anche creando e diffondendo fake news, assumendo così un potere immenso.

Il difetto risiede nel modo in cui l’app WhatsApp mobile si connette a WhatsApp Web e decrittografa i messaggi crittografati end-to-end utilizzando il protocollo protobuf v2. Questa vulnerabilità potrebbe causare tre possibili azioni criminali: 1. sostituire la vera risposta di un utente con un’altra puramente inventata; 2. citare un messaggio mentre si risponde in un gruppo così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo; 3. inviare un messaggio a un membro di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario. Il messaggio di risposta arriverà, invece, all’intero gruppo. Nel primo caso, il malintenzionato manipola il testo di una risposta così da fornire una risposta che potrebbe essere di grande beneficio per lui. 

Nel secondo caso, i criminali informatici potrebbero diffondere informazioni errate su un determinato prodotto e causare così gravi danni anche d’immagine a un’azienda. Nel terzo caso, invece, gli hacker potrebbero trarre in inganno le persone che potrebbero svelare segreti a loro insaputa. Attualmente, WhatsApp conta più di 1,5 miliardi di utenti, oltre un miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno. Inoltre, l’app di messaggistica, ora di proprietà di Facebook, prevede di aggiungere funzionalità business per supportare le aziende nella vendita dei loro prodotti e nella gestione del servizio di customer care attraverso l’applicazione. È facilmente intuibile come una falla di questo tipo, se sfruttata, potrebbe causare danni a un’azienda dal valore non quantificabile.


Per la sua caratteristica di essere uno strumento di comunicazione facile e veloce, WhatsApp è già stato al centro di numerosissimi fatti di cronaca. Dai finti premi del supermercato o delle compagnie aeree alle manipolazioni delle elezioni, gli hacker trovano sempre nuovi modi per utilizzare in modo illecito questo mezzo di comunicazione. Addirittura, le tecniche avanzate di social engineering, tecnica di hacking che fa leva sul fattore umano, sono già state utilizzate su larga scala anche quando c’era in gioco le vite delle persone. In Brasile, per esempio, sono state diffuse su WhatsApp indiscrezioni che sottolineavano quanto fosse rischioso un vaccino contro la febbre gialla – la verità era che quello stesso vaccino avrebbe potuto fermare un’epidemia che ha infettato 1.500 persone e ne ha uccise quasi 500, nel 2016.

WhatsApp, inoltre, assume un ruolo sempre più centrale in periodo di elezioni, soprattutto nei paesi in via di sviluppo. All’inizio di quest’anno, in India, WhatsApp è stato utilizzato per inviare messaggi, alcuni dei quali erano completamente falsi. Tramite le tecniche di social engineering, l’hacker riesce a importunare l’utente inducendolo a compiere azioni di cui poi si pentirà. Grazie alla possibilità di manipolare le risposte, inventare dichiarazioni o inviare messaggi privati sotto forma di messaggi di gruppo, i criminali hanno maggiori possibilità di successo e un’altra arma da utilizzare. È bene quindi applicare sempre le regole del buon senso, incluso quella di non credere a notizie che appaiono da subito abbastanza insolite e quella di controllare i fatti, verificando che la storia che si legge sui social sia presente anche nel web.

In seguito al processo di divulgazione responsabile, il Research Team di Check Point ha informato WhatsApp delle sue conclusioni. Check Point ritiene che questa vulnerabilità è della massima importanza e richiede attenzione. Quello delle fake news è un problema che WhatsApp ha di recente affrontato in India, dove la bufala dei ladri di bambini ha alimentato una vera e propria psicosi sfociata in linciaggi e violenze. In quel caso l’app di messaggistica è intervenuta annunciando un test, per limitare a 5 il numero massimo di contatti a cui può essere inoltrato un messaggio. L’azienda ha anche promesso di eliminare il tasto per la condivisione rapida che compare accanto ai messaggi, almeno nella versione dell’app distribuita in India. Per conoscere tutti i dettagli tecnici della scoperta, visitare il seguente link: https://bit.ly/2ANe6Ak




Nessun commento:

Posta un commento