Il malware progettato e appositamente sviluppato per dispositivi mobili è oggi una delle maggiori minacce per la privacy degli utenti e la sicurezza dei loro dati. Nel caso in cui un componente malevolo dovesse andare in esecuzione sul telefono, esso potrebbe accedere ai dati delle altre app installate senza alcuna autorizzazione, sottrarre informazioni riservate, trasferirle e svolgere azioni facendo le veci della vittima.
Nel caso di WhatsApp, un’app malevola presente sullo smartphone potrebbe utilizzare l’app di messaggistica per inviare messaggi all’insaputa dell’utente.
Per evitare queste situazioni, WhatsApp ha annunciato l’implementazione della nuova funzione di sicurezza chiamata Verifica del dispositivo, uno strumento che non richiede agli utenti alcun passaggio aggiuntivo e che fornisce un maggior livello di protezione, anche nella malaugurata ipotesi in cui il dispositivo fosse già stato compromesso.
Cos’è Verifica del dispositivo in WhatsApp e come funziona
WhatsApp utilizza diverse chiavi crittografiche per garantire che le comunicazioni all’interno dell’app siano crittografate end-to-end. La chiave di autenticazione, nello specifico, consente a ciascun client di connettersi al server WhatsApp e stabilire una connessione affidabile. Grazie alla chiave di autenticazione gli utenti di WhatsApp possono usare l’app senza dover inserire password, PIN, codice SMS o altre credenziali ogni volta che vi accedono.
La nuova funzione Verifica del dispositivo impedisce al malware di utilizzare le chiavi di autenticazione rubate da dispositivi mobili infetti o estorte previa installazione dell’utente di client WhatsApp non ufficiali (ecco perché è bene starvi sempre alla larga…). L’obiettivo è evitare che i criminali informatici possano impersonare account WhatsApp altrui e utilizzarli per inviare messaggi truffaldini e phishing alle persone presenti nella lista di contatto.
Verifica del dispositivo blocca automaticamente i tentativi di account hijacking da parte di soggetti terzi usando tre nuovi parametri che vengono messi in pista in background (l’utente non dove fare assolutamente nulla): un token di sicurezza memorizzato sul dispositivo, un nonce utilizzato per accertare se il client si sta connettendo al fine di recuperare i messaggi dai server WhatsApp e un authentication challenge che esegue il ping del dispositivo dell’utente in modalità asincrona.
Nella sicurezza informatica un nonce (number used once) è un valore numerico casuale utilizzato solo una volta. Viene utilizzato per scongiurare attacchi ripetuti ed evitare che un aggressore in grado di intercettare dati crittografati sia in grado di decifrarli o utilizzare la chiave di sessione per decodificare le successive comunicazioni.
L’authentication challenge (in italiano, “sfida di autenticazione”) è un processo utilizzato per verificare l’identità di un utente o di un sistema: permette di verificare che l’utente, il dispositivo o l’applicazione che sta cercando di accedere alle risorse richieste sia veramente chi dichiara di essere.
Grazie alla verifica del dispositivo implementata nelle versioni per Android e iOS di WhatsApp e con l’introduzione dei tre parametri citati in precedenza, è possibile evitare che eventuali malware utilizzino la chiave di autenticazione rubata all’infuori dell’app ufficiale per connettersi con i server WhatsApp e dialogare con questi sistemi “facendo le veci” delle vittime.
Protezione dell’account WhatsApp
L’azienda controllata da Facebook ha poi ha annunciato altre due funzionalità di sicurezza progettate per avvertire gli utenti di WhatsApp quando i loro account vengono spostati su altri dispositivi e verificare automaticamente i codici di sicurezza per confermare l’attendibilità della connessione con i server del network di messaggistica istantanea.
La nuova funzione Protezione dell’account svolge un doppio controllo di sicurezza quando gli account WhatsApp vengono collegati a nuovi dispositivi e ti avvisa gli utenti in caso di tentativi non autorizzati per il trasferimento degli account.
Abbiamo visto cambiare telefono senza perdere chat e allegati WhatsApp: l’applicazione offre una procedura supportata per passare a un nuovo smartphone. D’ora in poi, come ulteriore controllo di sicurezza, WhatsApp chiederà di confermare sul vecchio dispositivo l’effettiva intenzione di effettuare il passaggio a un altro dispositivo.
La verifica del codice di sicurezza è una funzione già integrata da tempo in WhatsApp che permette agli utenti più attenti agli aspetti relativi alla riservatezza dei dati, di verificare che il destinatario dei messaggi è proprio chi afferma di essere.
Per rendere questo processo più semplice e accessibile a tutti, WhatsApp ha aggiunto una nuova funzione basata sul processo chiamato Key Transparency e sulla libreria open source Auditable Key Directory (AKD).
La key transparency mira a fornire una maggiore trasparenza sulle chiavi pubbliche utilizzate in un sistema crittografico asimmetrico come quello usato da WhatsApp consetendo agli utenti di verificare la proprietà e l’autenticità delle chiavi pubbliche utilizzate.
Nello specifico, i server WhatsApp mantengono un archivio AKD che accetta solamente l’aggiunta di nuove chiavi pubbliche direttamente riferibili a ogni singolo account utente; una terza parte, inoltre, conserva e mantiene aggiornato un elenco che registra qualunque modifica: accessibile da parte di chiunque, questo secondo registro permette di verificare le chiavi pubbliche di qualunque utente.
Sebbene la Key Transparency di WhatsApp non sostituisca la tradizionale scansione del codice QR, utile a verificare l’identità del destinatario, migliora e completa quell’approccio in diversi modi:
- La scansione del codice QR richiede che due persone coordinino personalmente e fisicamente il processo di verifica. Al contrario, con la Key Transparency, è sufficiente che solamente un client WhatsApp avvii ed esegua il controllo attingendo al contenuto dell’archivio (directory).
- La Key Transparency funge da meccanismo di coerenza della chiave pubblica quando la verifica manuale del codice QR non è praticabile (si pensi alle situazioni in cui si comunica all’interno di gruppi WhatsApp composti da tanti utenti).
- Con la Key Transparency viene rafforzata la stessa cifratura end-to-end andando a migliorare la sicurezza generale dell’app di messaggistica.