Benché coinvolta spesso, suo malgrado, in attacchi alla sicurezza degli utenti, è innegabile che WhatsApp, l’app di messaggistica più diffusa al mondo, abbia fatto davvero molto per proteggere quel che i suoi iscritti si dicono (o si scambiano). Ad esempio, ormai da diverso tempo, è possibile avvalersi – al suo interno – della crittografia end-to-end, che tutela sia le chat testuali, che i contenuti multimediali condivisi, e le chiamate effettuate in VoIP. Tuttavia, a quanto pare, non è ancora abbastanza, vista la recente constatazione secondo la quale la cancellazione dei messaggi – di recente introdotta dopo una lunga fase di test – è tutt’altro che esente da inconvenienti.
A inizio mese, il portale spagnolo “androidjefe” fece emergere un aspetto inedito della funzione “Recall“, che permette di cancellare (purché ambedue le parti abbiano l’ultima versione dell’app) i messaggi inviati per errore, ma non ancora letti dal destinatario. Teoricamente, tale facoltà è possibile purché si avvii il processo di cancellazione entro 7 minuti dalla spedizione del messaggio: ebbene, androidjefe aveva scoperto che bastava selezionare il messaggio da cancellare, entro i 7 minuti di routine, facendo comparire la finestra in cui vien chiesto se lo si vuole cancellare per tutti o solo per se stessi, perché l’app non fosse più in grado di capire “quanto tempo era passato”, permettendo – al mittente – di cancellare il messaggio incriminato anche ben oltre il tempo previsto dall’app.
Oltre a questo bug, androidjefe ne ha individuato un altro, sempre afferente alla funzione “Recall” di WhatsApp: in questo caso, però, c’entra il registro di notifiche del destinatario. Quando si invia un messaggio, spiegano i colleghi spagnoli, il terminale del destinatario, animato da Android, lo segnala via notifica: tutto utile, per carità. Peccato che le notifiche vengano tutte elencate nel “registro notifiche”, un file di log che si azzera ad ogni riavvio del device o dopo un tot di ore ma che, nell’immediato, riporta – in forma di testo, oltre a dati utili solo per i programmatori – anche molte informazioni in chiaro, riguardanti le notifiche ricevute.
Un hacker che abbia installato un malware sul device della vittima, esportandosi verso un server remoto il log delle notifiche, potrebbe scoprire non poche cose: nel caso di WhatsApp, ad esempio, il testo che compare in chiaro comprende financo 100 caratteri, quanto basta per includere le credenziali complete d’una banca o di un conto PayPal.
Androidjefe, nel diffondere l’allarme in questione, ha precisato che anche altro. Ovvero, che accedere al log delle notifiche non è una pratica molto complessa, visto che lo si può fare sia tramite il widget di un launcher (es. Nova), sia tramite app ad hoc legalmente presenti sul Play Store. Inoltre, da questa vulnerabilità sembrerebbero affetti i device Android da Nougat in sù, ma non quelli con Marshmallow 6.0.
Per fortuna, la scoperta è stata riferita per tempo a WhatsApp che, pur non avendo ancora commentato la notizia, potrebbe presto provvedere all’emergenza col tempestivo rilascio di un bugfix.