Il ricercatore indipendente Bas Bosschert aveva nei giorni scorsi spiegato come rubare le conversazioni WhatsApp (Spiare le conversazioni di WhatsApp e rubare i database dell’app è molto semplice) decodificando il contenuto del database utilizzato dall’applicazione di messaggistica istantanea.
L’intervento di Bosschert ha immediatamente destato grande interesse negli utenti di WhatsApp e non solo inducendo anche la società a diramare un chiarimento: “siamo a conoscenza di segnalazioni che si riferiscono a questa “vulnerabilità di sicurezza” (notare le virgolette, n.d.r.). Purtroppo questi resoconti non contengono una descrizione chiara dei vari aspetti e sono generalmente sopravvalutati“, hanno dichiarato gli sviluppatori dell’azienda recentemente acquistata da Facebook per la somma di 19 miliardi di dollari (Facebook acquista WhatsApp per 19 miliardi di dollari). “Nelle normali situazioni, i dati memorizzati nella microSD non sono esposti. Purtuttavia, se il proprietario del dispositivo scaricasse un malware od un virus, le stesse informazioni potrebbero essere a rischio. Come sempre, raccomandiamo agli utenti di WhatsApp di installare tutti gli aggiornamenti del software e di scaricare solamente applicazioni fidate, sviluppate da aziende con una buona reputazione“.
Il commento di WhatsApp si chiude con la frase seguente: “la versione di WhatsApp al momento disponibile su Google Play (l’azienda ha appena rilasciato una nuova versione dell’applicazione, n.d.r.) è stata ulteriormente aggiornata e migliorata per proteggere i nostri utenti dalle app nocive“.
Bosschert, a sua volta, ha risposto all’intervento dei tecnici WhatsApp con un nuovo post sul suo blog: secondo il ricercatore, è vero che quella da lui individuata non è una vera e propria vulnerabilità di sicurezza ma una scelta che è stata compiuta “by design” dagli sviluppatori dell’applicazione di messaggistica.
Il consulente tecnico, che vanta un’esperienza decennale su piattaforma *nix, ha chiarito di non aver mai parlato di vulnerabilità; tra l’altro, la sua attività è consistita nell’unire più informazioni tecniche su WhatsApp che già circolavano in Rete da molto tempo mettendo poi a punto un codice “PoC” (proof-of-concept) in grado di rubare le conversazioni dell’utente.
“WhatsApp è intrinsecamente insicuro; è insicuro “by design”; l’aspetto sicurezza non è stato ritenuto importante come quello dell’usabilità“, ha polemizzato Bosschert che osserva come gli sviluppatori dell’applicazione per i dispositivi mobili avrebbero puntato tutto sull’usabilità che, di fatto, avrebbe determinato il grande successo di WhatsApp. “WhatsApp è cresciuto in modo talmente vorticoso che non si è mai trovato il tempo per implementare un buon modello basato sulla sicurezza“, ha continuato il ricercatore concludendo la sua analisi con la classica “ciliegina sulla torta”.
Secondo Bosschert, l’intervento appena applicato da WhatsApp sulla sua applicazione sarebbe pressoché inutile dal punto di vista della sicurezza: un’applicazione malevola può ancora rubare le conversazioni e trasferirle a terzi.
L’ultima release di WhatsApp memorizza infatti le conversazioni dell’utente, sulla scheda SD, nel “nuovo” formato crypt5 (file msgstore.db.crypt5
). In questo modo il codice originariamente sviluppato da Bosschert non funziona più ma sono bastate delle semplici modifiche per tornare a spiare le conversazioni WhatsApp.
Il ricercatore spiega infatti che WhatsApp non utilizza più la stessa chiave crittografica per tutti i dispositivi ma poggia sul nome dell’account per generare una chiave di cifratura univoca. Per un’applicazione malware, però, poco cambia: è sufficiente che l’app “rubi” il nome dell’account utente per tornare ad avere la possibilità di decodificare tutte le chat di WhatsApp.
Bosschert conclude che non c’è nulla che l’utente di WhatsApp possa fare se non riporre la massima attenzione sulle applicazioni che vengono installate sui propri dispositivi mobili (Antivirus su Android, serve davvero? Ecco uno dei migliori, gratis; Antivirus Android, malware a quota 97%. Ecco perché; Scaricare APK da Google Play: come fare senza installare nulla).
L’esperto ricorda anche che, storicamente, sullo stesso Google Play sono apparse molte app in grado di rubare le conversazioni WhatsApp: è quindi bene non sottovalutare il problema e, in ogni caso, evitare di trasferire con WhatsApp dati personali ed informazioni sensibili.