WhatsApp, la più popolare applicazione di messaggistica al mondo, sembra destinata a far parlare di sé anche al netto di novità di natura funzionale: in queste ore, ad esempio, la messaggistica istantanea in oggetto è stata attenzionata da diverse security house per questioni di sicurezza, emerse in seguito al rinvenimento di una vulnerabilità generale (degli operatori di telefonia) e di un bug (suo) ristretto ad iOS e Android.
La prima brutta notizia inerente WhatsApp è stata comunicata dall’ente israeliano per la sicurezza informatica, e rilanciata urbi et orbi da portali quali Nakedsecurity e ZDNet: nell’allarme, si farebbe riferimento ad una falla nella procedura di autenticazione dell’app che chiama in causa la segreteria telefonica VoiceMail offerta dagli operatori telefonici mobili. In pratica, gli hacker – secondo quanto palesato da alcuni utenti israeliani colpiti – installano WhatsApp sul proprio telefono, inserendo il numero della vittima, ed avviano la procedura di registrazione che, come noto, prevede – in prima battuta – la ricezione d’un SMS con relativo codice, e poi – in caso di mancato inserimento – la ricezione del medesimo codice via telefonata richiesta.
Ebbene, avviando questo tran-tran di notte, quando la vittima dorme, si è sicuri che il messaggio di WhatsApp venga lasciato nella segreteria telefonica VoiceMail, che scatta in seguito alla mancata risposta dell’utente: a questo punto, l’hacker non dovrà far altro che chiamare il numero unico fornito da quel dato operatore per tale servizio, ed inserire un codice di accesso sovente rinvenibile con una semplice googlata in Rete. Ascoltato il messaggio, rinvenuto il codice, il criminale potrà registrarsi su WhatsApp col numero della vittima e, da quel momento, leggerne i contatti, i messaggi, visionarne gli allegati scambiati, etc: con ovvie ripercussioni su privacy e sicurezza personale.
A quanto pare, il pericolo non riguarderebbe l’Italia, ove l’accesso alla VoiceMail è meglio presidiato, ma gli esperti informatici consigliano di correre comunque ai ripari, attivando l’autenticazione a due fattori su WhatsApp, secondo la procedura che prevede, come step, l’avvio della “Verifica in due passaggi” dopo aver tippato, in Impostazioni, sulla voce “Account”.
Infine, un altro allarme, per fortuna appena rientrato. Il team di Google Project Zero, ad Agosto, aveva scoperto e segnalato un bug nel protocollo RTP, utilizzato per supportare le videocall, che permetteva agli hacker di prendere il controllo dell’app WhatsApp non appena la vittima avesse risposto ad una particolare videochiamata. È notizia di queste ore, però, che WhatsApp ha sanato tale bug che, a quanto pare, affliggeva solo le varianti iOS e Android della propria piattaforma.