WhatsApp, chat di gruppo vulnerabili per dei ricercatori ma per Facebook non ci sono problemi

Alcuni ricercatori di sicurezza tedeschi sono riusciti a violare le chat di gruppo di WhatsApp nonostante la crittografia end-to-end utilizzata dalla piattaforma di proprietà di Facebook. I ricercatori hanno presentato la falla che hanno trovato quasi un anno fa nella sicurezza di WhatsApp durante la conferenza sulla sicurezza Real World Crypto in Svizzera.

Stando a quanto riportato dal sito Wired.com, chi è in grado di controllare i server dell’app ha la possibilità di inserire nuove persone in una chat di gruppo privata senza dover chiedere il permesso all’amministratore, che dovrebbe essere il solo a poter controllare chi puo’ accedere a quella conversazione.

"La riservatezza del gruppo viene interrotta nel momento in cui il membro aggiunto senza invito può ottenere l’accesso a tutti i nuovi messaggi e leggerli", ha detto a Wired Paul Rösler, uno dei ricercatori, aggiungendo che "se so che c’è una crittografia end-to-end per le comunicazioni di gruppo e tra due utenti, significa che l’aggiunta di nuovi membri deve essere protetta, perchè in caso contrario il livello della crittografia è molto basso".

Il problema: solo un amministratore di un gruppo WhatsApp può invitare nuovi membri, ma WhatsApp non utilizza meccanismi di autenticazione per quell’invito che i suoi server non possono falsificare. Di conseguenza, dal server si può semplicemente aggiungere un nuovo membro ad un gruppo senza chiamare in causa l’amministratore del gruppo, e il telefono di ogni partecipante al gruppo andrà quindi in automatico a condividere le chiavi segrete dei nuovi messaggi scambiati col nuovo membro entrato senza permesso, il quale diventa di fatto a tutti gli effetti un membro di quel gruppo, avendo accesso completo a tutti i nuovi messaggi – quando si entra in un gruppo esistente, i messaggi scambiati prima di quel momento dagli altri non si possono visualizzare.

Gli utenti ‘comuni’ non possono avere accesso ai server di Whatsapp e quindi inserire nuovi utenti in gruppi privati esistenti, ma un hacker malintenzionato che riesce a prendere il controllo di anche solo un server di WhatsApp puo’ sfruttare la vulnerabilità trovata. Ma i pericoli sarebbero ben altri: "Hacker sofisticati potrebbero compromettere quei server, membri dello staff di WhatsApp o governi che costringono WhatsApp legalmente a dare loro accesso" si legge su Wired.

"Se costruisci un sistema in cui tutto dipende dalla fiducia del server, potresti anche rinunciare a tutta la complessità e dimenticare la crittografia end-to-end", ha commentato Matthew Green, professore di crittografia presso la Johns Hopkins University, secondo cui quello di Whatsapp "è un grande errore, non ci sono scuse".

I ricercatori nel documento in cui hanno riassunto la scoperta raccomandano gli utenti che sono alla ricerca di servizi di messaggistica istantanea in grado di offrire una "privacy assoluta" di rivolgersi a servizi come la messaggistica privata tradizionale (SMS) oppure a Signal e Threema, altre app di messaggistica istantanea che possono avere delle lacune nella sicurezza ma meno "pericolose". 

Tutto risolto oppure no? I ricercatori hanno segnalato a WhatsApp il problema quasi un anno fa, lo scorso luglio. Al pubblico è stato rivelato solo oggi perchè cosi’ eventuali malintenzionati non possono sfruttarlo in quanto risulta "sistemato". In risposta al loro rapporto, scrive Wired, WhatsApp ha detto di aver risolto "un problema con una funzionalità della crittografia che impedisce l’accesso ai nuovi messaggi anche dopo che un utente malintenzionato è riuscito ad ottenere una chiave di decrittografia", aggiungendo che il bug trovato nella funzionalità degli inviti per entrare nei gruppi privati che avevano trovato era solo "teorico" tanto  che non hanno ricevuto soldi in cambio come sarebbe invece previsto dal programma gestito da Facebook che premia col denaro i ricercatori di sicurezza quando segnalano vulnerabilità nei software dell’azienda.