Rischio sicurezza per WhatsApp e Telegram web basta una foto per rubare l’account: ecco come proteggersi

0
Tra le applicazioni di messaggistica istantanea più utilizzate al mondo troviamo senza dubbio WhatsApp e Telegram, due piattaforma che ogni giorno ospitano milioni di utenti che comunicano tramite l’app per smartphone ma anche tramite la versione web.

Un malintenzionato può ottenere il controllo totale dell’account attraverso un malware nascosto all’interno di immagini e video. I ricercatori della Check Point hanno scoperto un’importante vulnerabilità presente sulle piattaforme web di WhatsApp e Telegram: sfruttando questo exploit, gli hacker possono prendere il controllo completo degli account e accedere alle conversazioni personali e di gruppo degli ignari utenti, coprese foto, video, file condivisi, lista dei contatti e molto altro ancora.

Una volta individuata la falla, l’8 marzo scorso Check Point ha contattato i team di sicurezza di WhatsApp e Telegram, i quali hanno risposto “in modo rapido e responsabile“, sviluppando una patch grazie alla quale il pericolo è stato scongiurato.

“Questa nuova vulnerabilità espone centinaia di milioni di utenti WhatsApp Web e Telegram Web al rischio di vedersi sottrarre il proprio account”, ha dichiarato Oded Vanunu, head of product vulnerability research at Check Point.

“Inviando una semplice immagine alla parvenza innocente, un malintenzionato potrebbe ottenere l’accesso all’account, alla cronologia dei messaggi, a tutte le foto e persino inviare messaggi per conto dell’utente.”

Per essere sicuri di usare la versione più recente dell’app web consigliamo di riavviare il browser su cui utilizzate WhatsApp e/o Telegram web. Sembra in particolare che la questione riguardi i client Web dei noti sistemi di messaggistica. Poiché i messaggi vengono crittografati dal lato del mittente, WhatsApp e Telegram non potevano vederne il contenuto, ed erano dunque incapaci di impedire l’invio di messaggi malevoli. Questa configurazione impediva a WhatsApp e Telegram di bloccare i contenuti potenzialmente dannosi, ma ora il contenuto dei messaggi stessi viene convalidato prima della crittografia, permettendo così il blocco di file pericolosi.

Entrambe le versioni web sono una sorta di mirror di tutti i messaggi inviati e ricevuti dall’applicazione mobile e sono completamente sincronizzati con i dispositivi degli utenti.

Secondo Tobias Boelter, crittografo e ricercatore presso l’Università della California, l’implementazione della cifratura end-to-end, così come adottata, soffrirebbe di una grave vulnerabilità. Ma a quanto pare, un bug di programmazione – che WhatsApp ha conosciuto per qualche tempo e non ha fissato – teoricamente permette a Whatsapp a curiosare su eventuali messaggi cifrati inviati tramite la piattaforma. Questa backdoor potrebbe però, se individuata, anche essere utilizzata da hacker per estorcere notizie. Tale vulnerabilità è stata notificata a Facebook ad aprile 2016; ad oggi, però, è ancora presente.

Il rapporto ha verificato che la backdoor continua ad esistere anche nelle versioni più recenti delle applicazioni. Il mittente utilizza le nuove chiavi per cifrare i messaggi e quindi le invia di nuovo per ogni messaggio che non è stato segnato come consegnato. Le chat di Whatsapp potrebbero essere molto meno sicure di quanto saremmo portati a pensare. Il Professor Kirstie Ball, un sostenitore della privacy, ha detto al Guardian che “essere in grado di guardare a ciò che si sta dicendo è una enorme minaccia per la libertà di parola”. Dopo aver introdotto il protocollo di Open Whispers System, Facebook – casa madre di WhatsApp – ha assicurato che nessuno, nemmeno loro, potrebbe accedere ai file inviati, che siano messaggi di testo o foto. La falla consiste nel fatto che la backdoor interverrebbe prima della creazione di esse, concedendo la possibilità di entrare nella chat. Ma, attenzione, non si tratta di una backdoor, solo di un sistema adottato per migliorare l’esperienza d’uso dell’utente.

Il ricercatore ha dichiarato di aver già informato Facebook, proprietario del servizio dal 2014, della propria scoperta, e di aver ricevuto conferme circa la conoscenza da parte dei gestori del social network di questa anomalia.

Il Guardian, che ha seguito da vicino la questione, ha ovviamente contattato i vertici di WhatsApp e di Facebook chiedendo informazioni e nonostante molti esperti di security stiano definendo questa fallauna miniera d’oro per le agenzie di sicurezza” l’azienda minimizza: “Whatsapp è usato da un miliardo di persone perché è semplice e sicuro”. Quel tipo di crittografia consiste in una protezione dei messaggi con una chiave in possesso solo del mittente e del destinatario.

L’INTRODUZIONE DELLE VIDEOCHIAMATE

WhatsApp, l’applicazione di messaggistica istantanea è pronta a lanciare la prossima settimana e nello specifico nella giornata di lunedì un aggiornamento che permetterà agli utenti di effettuare le videochiamate criptate. La novità era stata già annunciata nelle scorse settimane, e sembra aver riscosso tanto successo. Al pari dei messaggi e delle telefonate, le videochiamate su WhatsApp saranno criptate, inaccessibili agli hacker ma anche alle agenzie governative. E’stato Jan Koum, ovvero il fondatore di WhatsApp insieme a Brian Acton ad aver annunciato che la funzione lunedì sarà attiva in ben 180 paesi nel giro di poche ore dopo un evento programmato in India. Nello specifico Jan Koum, ha dichiarato: “Noi cerchiamo di essere sempre in sintonia con ciò che i nostri utenti vogliono”. “Siamo entusiasti di poter offrire al mondo le videochiamate. A volte voce e testo non sono sufficienti: non c’è sostituto alla visione di un nipote che compie i suoi primi passi, o del viso di una figlia mentre è a studiare all’estero” si legge sul blog di WhatsApp, che adesso dovrà competere con le videochiamate di Skype, Facebook Messenger, Snapchat, FaceTime di Apple e Duo di Google.

Come avvenuto in passato per i messaggi, le videochiamate su WhatsApp saranno protette dalla crittografia end-to-end, ovvero da estremità e estremità, che permette la fruizione del contenuto soltanto al mittente e destinatario ed impedisce a chiunque tenti di intercettare testo, audio e video nel percorso dall’uno all’altro smartphone.“Il nostro obiettivo a WhatsApp è sempre stato quello di aiutare il maggior numero di persone possibile a rimanere in contatto con amici, familiari e i propri cari. Ciò significa realizzare un prodotto semplice, facile da usare, e accessibile in qualsiasi posto. Abbiamo iniziato con la messaggistica e le chat di gruppo. Poi abbiamo aggiunto le chiamate vocali. E lo abbiamo fatto in modo che funzionassero sulle migliaia di combinazioni di dispositivi e piattaforme presenti in tutto il mondo”, con queste parole la società ha introdotto la novità.

Gli utenti, nello specifico, continueranno a vedere l’icona della chiamata in alto a destra nella finestra di conversazione, soltanto che adesso toccandola spunteranno due pop-up che proporranno due opzioni, quella relativa alla chiamata vocale e la videochiamata. Dunque, per poter effettuare le videochiamate basterà aprire una nuova chat, cliccare sulla classica icona chiamata e scegliere tra quella vocale e quella video; una volta scelta l’opzione video partirà una chiamata come quella Skype che utilizzerà la fotocamera per fare il video. Le videochiamate, prosegue la compagnia di proprietà di Facebook, saranno “a disposizione di tutti, non solo di coloro che possono permettersi nuovi e costosi telefoni o vivono in Paesi con le migliori reti cellulari”.La nuova funzione è in fase di attivazione in queste ore per la totalità degli utenti della piattaforma.

Rispondi o Commenta