Non è la prima volta che WhatsApp riceve dure critiche sul modo in cui protegge la privacy dei suoi utenti. Dopo le critiche di Pavel Durov, CEO e fondatore della rivale Telegram, di recente è arrivata la decisione di Apple che, con iOS 13, modificando alcune API dedicate all’operatività in background delle applicazioni, porrà un freno alle informazioni che queste ultime, tra cui WhatsApp, possono raccogliere quando non in primo piano. Ora, è la volta di una famosa security house sollevare qualche punto interrogativo sulla sicurezza della nota chat app.
Nel corso dell’appena conclusasi conferenza Black Hat 2019, tenutasi presso il convention center del Mandala Bay di Las Vegas, Check Point Software Technologies, azienda israeliana sviluppatrice di antivirus, ha reso noto che WhatsApp sarebbe afflitta da tre vulnerabilità, che permetterebbero, sfruttando WhatsApp Web, e qualche tecnica di ingegneria sociale, di poter intercettare e manipolare il contenuto di alcuni messaggi, all’interno dei gruppi, concorrendo a diffondere una disinformazione potenzialmente devastante.
Il primo caso tipico è quello di chi, agguantando la risposta di una persona, ne modifichi il testo, facendo risultare che abbia detto – o scritto, nel caso specifico – cose mai neanche lontanamente pensate: parimenti inquietante è la situazione, basata sul ricorso alla funzione “citazione/quote”, che permette, mantenuto intonso il contenuto, di variare l’identità del mittente, anche qualora quest’ultimo non faccia parte del gruppo.
Tra le vulnerabilità riscontrate, ricorrendo al reverse engineering del codice, modificato e iniettato in uno strumento ad hoc, figura anche una terza fattispecie grazie alla quale, con un singolare mix di dimensione pubblica e privata, si finisce col rispondere un messaggio, pensando che sia e rimanga privato, nel mentre – invece – è visibile a tutti.
Ebbene, Check Point ha spiegato d’aver segnalato queste problematiche, possibili per un utente che acceda alla piattaforma attraverso la versione decriptata della stessa, un anno fa ma che, da allora, solo una vulnerabilità, quella che consente l’ultimo tipo di attacco, è stata sanata dallo staff di Menlo Park che, evidentemente, si è trovato in difficoltà negli altri due casi, frenato dalla crittografia end-to-end che protegge le comunicazioni da punto a punto.
Considerando che WhatsApp ha circa 1.5 miliardi di utenti all’interno di 180 paesi, con il mercato americano che, nel 2021, avrà 25.6 milioni di cittadini iscritti alla chat app in verde, e che – ogni giorno – vengono scambiati 65 miliardi di messaggi, con 23 accessi al giorno da parte di ogni utente, l’impatto concreto di tali falle nella propagazione delle false notizie potrebbe avere proporzioni, anche tangibili, molto pericolose, nel caso non vi si ponesse definitivamente rimedio.