Un ricercatore tedesco ha individuato una vulnerabilità sulle password di ogni utente in WhatsApp, il programma multipiattaforma che consente di inviare messaggi verso altri utenti iOS, Android e non solo. Sfruttando questa falla è possibile determinare le password degli utenti e inviare messaggi con il loro account.
La notizia è stata riportata da oversecurity.net e arriva a poche settimane dalla correzione, da parte degli sviluppatori, di un’altra falla in WhatsApp che consentiva di memorizzare in chiaro le conversazioni.
Con questa nuova vulnerabilità si è scoperto che l’autenticazione degli utenti durante l’invio o la ricezione dei messaggi è violabile: ciò permette ad un estraneo di prendere pieno possesso di un account WhatsApp inviando messaggi o di leggere anche le eventuali risposte. Ogni utente che vuole inviare un messaggio o verificare se ha dei messaggi da leggere si autentica sui server attraverso una “password” generata automaticamente dal software. La password è però facilmente riconducibile perché si basa sul codice IMEI degli Smartphone non Apple o del MAC Address per gli utenti Apple, l’identificativo del cellulare viene poi invertito e di esso generato il codice Hash MD5.
Questo significa che si possono inviare e ricevere risposte senza che il destinatario si accorga di nulla e, ancor più importante, neanche il mittente (utente vulnerabile) avrà la minima traccia di quanto accaduto: nella sua cronologia di chat non solo non appariranno i messaggi inviati ma neanche quelli in risposta. Per iOS la situazione è leggermente meno grave, perchè Apple non permette alle app di accedere all’IMEI del dispositivo, per cui risulta molto più gravoso per un malintenzionato sfruttare questa falla di WhatsApp (è necessario calcolarla mediante indirizzo MAC di rete). Le applicazioni Android, invece, sono in grado di raccogliere IMEI e numeri di telefoni e non è improbabile che alcuni sviluppatori stiano già raccogliendo queste informazioni e gli Spammer iniziano già a offrire soldi per ottenere i dati degli utenti. Questo significa che, avendo a disposizione il codice IMEI di due utenti che comunemente si scrivono, attraverso l’attacco Man in the Middle si possono intercettare le loro conversazioni catturando diverse informazioni sensibili rimanendo completamente all’oscuro.
Per tutti i dettagli tecnici vi consigliamo la lettura di questo articolo.