Una falla di sicurezza unica e inquietante in WhatsApp consente a chiunque di bloccare il tuo account in questo servizio purché conosca il tuo numero di telefono.
Il problema non è un difetto interno nel codice di WhatsApp, ma un inquietante errore nel modo in cui il servizio blocca gli account. L’aggressore non leggerà i tuoi messaggi ma ti lascerà senza accesso alla popolare applicazione di messaggistica senza che tu sappia cosa è successo.
Un problema in WhatsApp che può causare molti mal di testa
Il meccanismo è semplice. L’aggressore installa WhatsApp su un nuovo telefono cellulare e inserisce il tuo numero per attivare il servizio. Non possono verificarlo perché quella chiave raggiunge il tuo numero di telefono.
Poiché ha utilizzato il tuo numero di telefono, inserisce diverse chiavi di verifica casuali che non riescono e dopo diversi tentativi, l’app non consente all’aggressore di inserire nuovi codici a sei cifre per convalidare quell’account per 12 ore.
Per la vittima tutto continuerà a funzionare per il momento, ma è qui che entra in gioco la parte interessante: quando quell’account viene bloccato, l’aggressore invia un’e-mail (da un indirizzo usa e getta, ad esempio, un nuovo account Gmail) a WhatsApp indirizzo di supporto. In quel messaggio, è sufficiente dire loro che il tuo cellulare è stato rubato o perso e che il servizio deve essere disabilitato.
L’unica cosa che WhatsApp fa qui è credere che l’identità dell’aggressore sia legittima in un processo automatizzato che non richiede ulteriori azioni, il servizio semplicemente lo dà per scontato e il processo termina con l’obiettivo raggiunto: il tuo account WhatsApp viene sospeso senza ulteriori azioni. L’autore dell’attacco può ripetere il processo più volte per rendere quasi impossibile l’utilizzo normale dell’app.
Questa falla di sicurezza potrebbe causare il blocco del tuo account
Devi attendere la fine del periodo di 12 ore che l’aggressore aveva avviato non riuscendo a inserire il codice di verifica. Da quel momento potrai riattivare l’account, ma dovrai continuare a provare senza sapere quando saranno terminate quelle 12 ore.
Anche se questa falla di sicurezza non dà accesso ai nostri messaggi o contatti, qualsiasi aggressore con il nostro numero di telefono può causarci molti inconvenienti. I gestori di WhatsApp e Facebook non sembrano considerare una possibile soluzione al momento.