Una nuova tegola cade su Whatsapp. L’applicazione per la messaggistica istantanea multipiattaforma (può funzionare sui dispositivi mobili a cuore Android, iOS, BlackBerry OS, Windows Phone e Symbian) è ancora una volta nel mirino dei ricercatori di sicurezza.
Secondo Thijs Alkemade, che sul suo blog ha pubblicato un’analisi molto dettagliata, Whatsapp soffrirebbe di un problema di fondo che renderebbe decodificabili tutti i messaggi scambiati attraverso l’applicazione.
Due gli errori che avrebbero commesso i programmatori di Whatsapp: il primo riguarda l’utilizzo della medesima chiave RC4 per la codifica dei messaggi in entrambe le direzioni. Una leggerezza che, come spiega Alkemade, porta ad un’immediata conclusione: utilizzando la funzione XOR, è possibile rilevare molte informazioni utili che aiutano a decodificare i dati. Dopo la fase iniziale di autenticazione tra client e server, il secondo errore consisterebbe nell’impiego della medesima chiave anche per la protezione dei successivi messaggi scambiati con l’applicazione e protetti mediante HMAC.
Il ricercatore, studente presso l’università olandese di Utrecht, ha concluso che tutte le comunicazioni effettuate attraverso Whatsapp sono adesso potenzialmente a rischio di intercettazione. Anzi, il problema potrebbe essere già noto e non essere stato ancora ad oggi reso pubblico dando così un grande vantaggio a chi finora ha potuto spiare indisturbato i messaggi altrui.
“Non c’è nulla che un utente Whatsapp possa fare per difendersi se non aspettare un aggiornamento ufficiale che risolva definitivamente il problema“, ha aggiunto Alkemade che chiosa in modo provocatorio: “se gli sviluppatori di Whatsapp non sanno come utilizzare correttamente lo xoring (…) accettino una soluzione che per più di 15 anni è stata oggetto di revisioni, analisi ed aggiornamenti: si chiama TLS“. Non si cerchi di sviluppare da zero un protocollo per l’invio di informazioni in forma cifrata, è il consiglio di Alkemade.
Giornata pesante per Whatsapp che oggi si è trovata a fronteggiare, insieme con altre famose aziende, un attacco “DNS hijack” rivolto al suo sito web principale (AVG, Avira e Whatsapp attaccati da un gruppo palestinese).