WhatsApp: trovata una nuova falla di sicurezza nell’applicazione di messaggistica istantanea

Nel mese di gennaio si è rapidamente sparso il panico per via della rimozione di WhatsApp da App Store vista la fama dell’applicazione e l’ottimo servizio di messaggistica istantanea offerto agli utenti. Il motivo di tale rimozione non è stato mai ufficialmente diffuso, e si parlò addirittura di un problema di sicurezza, e sempre di sicurezza parliamo oggi. Pare infatti che sia stato trovata una nuova falla in WhatsApp in grado di offrire a persone con intenzioni malevole la possibilità di accedere al nostro database di messaggi. Vediamo di cosa si tratta.

Il problema di sicurezza di cui vi parliamo in questo articolo, riportato da Techie Buzz, fa riferimento al database in cui WhatsApp archivia tutti i log dei nostri messaggi sia in entrata che in uscita e, nonostante il database SQLite sia localizzato in una directory accessibile unicamente tramite lo sblocco del dispositivo sia tramite jailbreak (iPhone) che rooting (Android), tale database è criptato con una chiave statica “hard-coded” con protocollo AES-192.

Il database completo è localizzato in /com.whatsapp/databases/msgstore.db su Android e su ~/Documents/ChatStorage.sqlite sui dispositivi iOS, e può essere ‘facilmente’ decifrato tramite l’uso della suddetta chiave con la richiesta che openssl riconverta il database in un file di testo:

openssl enc -d -aes-192-ecb -in msgstore-1.db.crypt -out msgstore.db.sqlite -K346a23652a46392b4d73257c67317e352e3372482177652c

La persona dietro tale metodo ha inoltre creato un sito online per semplificare ed automatizzare processo semplicemente caricando il file criptato del database. Il fatto che un’applicazione usata da milioni di utenti possieda lacune in termini di sicurezza così gravi è certamente sconcertante, e sarebbe opportuno che gli sviluppatori considerino più attentamente problematiche di questo genere. Naturalmente la speranza che è gli sviluppatori di WhatsApp rilascino presto un nuovo aggiornamento per introdurre una nuova chiave, soprattutto se si considera la grandissima mole di persone che ogni giorno utilizzano quest’applicazione di messaggistica, disponibile su praticamente tutte le piattaforme principali.

Ricordiamo infine come l’accesso al suddetto database sia possibile esclusivamente tramite lo sblocco del dispositivo, per cui chi possiede un device non rooted o jailbroken può dormire sonni tranquilli.

Grazie nervous per la segnalazione

[via]

NovitàAcquista il nuovo iPhone 16 su Amazon
Applicazioni App Store