Secondo un team di ricercatori tedesco l’app di messaggistica istantanea WhatsApp avrebbe una vulnerabilità che potrebbe essere sfruttata per penetrare nelle chat di gruppo senza invito, bypassando tutti gli algoritmi di crittografia che proteggono i messaggi nel trasferimento tra gli utenti.
La criticità starebbe nel fatto che nessun meccanismo di autenticazione viene utilizzato quando l’amministratore del gruppo invita nuovi membri. Sarebbe quindi possibile accedere al server e aggiungere una persona senza l’interazione dell’amministratore.
A questo punto gli smartphone degli altri membri condivideranno le chiavi segrete con il nuovo membro, consentendogli l’accesso a tutti i messaggi futuri.
La crittografia end-to-end della piattaforma che protegge le comunicazioni tra i membri, sembra quindi avere negli “inviti” il proprio punto debole, visto che non vengono inviati dall’amministratore di turno ma spediti dai server di WhatsApp sprovvisti di qualunque sistema di autenticazione e quindi falsificabili.
Prima di farsi prendere dal panico è bene precisare però, che per spedire inviti falsi senza essere il vero amministratore di un gruppo occorre comunque avere il controllo di un server WhatsApp gestito dall’infrastruttura della società stessa. Violarla è un’operazione molto complessa e fuori dalla portata della maggioranza delle persone, ma comunque possibile.
Moxie Marlinspike, fondatore di Open Whisper Systems e creatore della crittografia end-to-end usata in Signal e WhatsApp, ritiene che l’attuale funzionamento del servizio rappresenti un ragionevole compromesso tra semplicità e sicurezza.
I ricercatori dell’università tedesca ritengono sia necessario aggiungere un meccanismo di autenticazione per l’invito di partecipare al gruppo. Una chiave segreta, nota solo all’amministratore, infatti, permetterebbe di provare l’identità dei nuovi membri e bloccare l’accesso agli ospiti non desiderati.
