Tutti gli account WhatsApp sono in pericolo a causa di una semplice falla di sicurezza. Vediamo come fare per proteggersi.
I ricercatori specializzati in cybersecurity, Luis Márquez Carpintero ed Ernesto Canales Pereña, hanno scoperto un metodo che consente di bloccare l’accesso a qualsiasi account WhatsApp, attraverso un processo che non richiede più di cinque minuti. Tutto è dovuto a una vulnerabilità scoperta nella piattaforma, che potrebbe interessare milioni di persone in tutto il mondo.
Come spiegano i ricercatori a Forbes, i possibili aggressori avrebbero solo bisogno di conoscere il numero di telefono delle loro vittime per portare a termine l’attacco. E considerando che Facebook stesso ha reso pubblici i numeri di telefono di oltre mezzo milione di persone, non dovrebbe essere troppo difficile per queste persone trovare i loro numeri di destinazione.
Come bloccano un account WhatsApp con questo errore
Il processo di verifica a due fattori che WhatsApp abilitato per impostazione predefinita durante la creazione di un account è uno degli elementi più deboli dell’applicazione, poiché coinvolge il fattore umano e gli eventuali aggressori possono trarne vantaggio per accedere agli account delle loro vittime.
Il funzionamento di questo sistema è semplice: quando scarichi l’app WhatsApp sul tuo cellulare, ti viene chiesto di inserire il numero di telefono e, successivamente, un codice ricevuto via SMS per verificare l’account. Se il codice è corretto, l’app richiederà il codice di verifica a due fattori per identificare l’utente.
Tuttavia, chiunque può inserire il numero di telefono di qualcun altro durante l’installazione di WhatsApp su un dispositivo. Quando un aggressore ha l’obiettivo di bloccare l’account della sua vittima, inserirà il numero della sua vittima, richiedendo il codice di verifica che gli consente di verificare l’account.
Tuttavia, poiché questo account è stato attivato sul cellulare della vittima, quest’ultimo inizierà a ricevere i codici di verifica e le notifiche che indicano che qualcuno sta tentando di accedere su un altro dispositivo. La cosa più logica sarebbe ignorare queste notifiche, giusto?
E qui iniziano i problemi, infatti se vengono richiesti un certo numero di codici in un breve lasso di tempo, WhatsApp bloccherà il tentativo di accesso all’account per 12 ore, impedendo nuovi tentativi di login. Questo, in linea di principio, non dovrebbe essere un problema per la vittima a meno che non decida di disconnettersi dal proprio account, ad esempio per cambiare il proprio telefono cellulare.
Ma è a questo punto che l’aggressore compirà l’ultimo passo per bloccare l’account della sua vittima. Per farlo, sarà sufficiente inviare un messaggio di posta elettronica all’account del supporto WhatsApp, richiedendo la chiusura dell’account, sostenendo che potrebbe essere stato rubato. E inserire nel messaggio il numero di telefono della vittima.
Entro pochi minuti, l’aggressore riceverà un’email generata automaticamente da WhatsApp, che confermerà che l’account WhatsApp collegato a quel numero è stato sospeso con successo.
E poco dopo purtroppo, la vittima si renderà conto che il suo account WhatsApp è stato bloccato sul suo telefono e non potrà più usare l’applicazione di messaggistica.
Quando tenterà di accedere nuovamente, la vittima vedrà attiva una restrizione che ne impedirà la ricezione di nuovi codici di verifica per un tempo di 12 ore, a causa del precedente bombardamento di tentativi di accesso effettuato dall’aggressore pochi minuti prima.
E qui entra in gioco quello che sembra essere un’altro bug di WhatsApp. Quando si tenta di accedere all’account che è stato bloccato per 12 ore, WhatsApp potrebbe mostrare il testo “Hai provato ad accedere troppe volte. Riprova tra -1 secondi ” a causa dei continui tentativi da parte dell’aggressore.
Ora, il disastro è praticamente inevitabile e attendere che l’applicazione consenta di ripetere il test con un nuovo codice è semplicemente inutile, visto che anche l’aggressore potrebbe continuare a ripetere la richiesta all’infinito per allungare il tempo di blocco. Non resta che provare a contattare il supporto tecnico di WhatsApp alla ricerca di una soluzione.
Purtroppo WhatsApp non sembra avere alcuna intenzione di dare una soluzione efficace a questo problema. Affermano che “le circostanze individuate dagli investigatori violerebbero i termini di servizio”, ma dubito che questo sarà un problema per i futuri aggressori, dato che non avranno nemmeno bisogno di avere un numero di telefono o una scheda SIM associata al cellulare da cui partirà l’attacco: è sufficiente avere una connessione WiFi e un cellulare con WhatsApp scaricato.
Uno dei modi per cercare di sbarazzarsi di questo tipo di attacco è attivare il sistema di verifica in due passaggi di WhatsApp e associare un indirizzo email. Nel frattempo, fai attenzione agli avvisi di richiesta dei tuoi codici di verifica e, se il problema persiste, contatta subito il supporto di WhatsApp.
