Le chat di WhatsApp sono manipolabili: è possibile mettere in bocca a qualcuno parole che non ha mai scritto sull’applicazione di messaggistica. La crittografia end-to-end, una misura di protezione della privacy introdotta nell’applicazione a beneficio dei suoi 1,5 miliardi di utenti in giro per il mondo, non è una misura sufficiente ad azzerare il rischio di hackeraggi e intercettazioni delle conversazioni.

 

Così afferma Check Point, spiegando di aver scoperto e doverosamente segnalato la vulnerabilità a WhatsApp già verso la fine del 2018,  tre vulnerabilità. Da allora, il problema è stato risolto solo il parte. In sostanza, i ricercatori di sicurezza sono riusciti a decodificare il codice sorgente di WhatsApp Web e a decifrare conversazioni protette dalla crittografia.

 

Che cosa sia possibile fare, una volta ottenuto l’accesso,  Check Point lo ha spiegato sul palco della conferenza Black Hat Usa 2019, uno tra gli appuntamenti tecnici dedicati agli addetti ai lavori più importanti dell’anno. I possibili attacchi realizzabili sono di tre tipi: è possibile usare la funzione “Citare” in una conversazione di gruppo per cambiare l’identità del mittente, anche se questa persona non è parte del gruppo; si può modificare il testo della risposta di qualcun altro, essenzialmente mettendogli delle parole in bocca; si poteva, infine, inviare un messaggio privato ad un partecipante del gruppo facendo in modo che la risposta compaia nella chat e venga letta da tutti i partecipanti.

 

Per quest’ultimo tipo di attacco parliamo al passato, dato che WhatsApp ha risolto il problema che lo rendeva possibile, mentre gli altri due restano teoricamente eseguibili. Durante questo processo ha tradotto tutte le funzioni web di WhatsApp in python e ha creato l’estensione Burpsuit per indagare il traffico WhatsApp e per trovare nuove vulnerabilità. Si intuisce come le manipolazioni delle chat sopra descritte possano essere usate per scopi di vario tipo, che vanno dal creare imbarazzo e confezionare truffe. Per dimostrare la gravità di questo bug, Check Point ha creato uno strumento che consente di decifrare le chat crittografate e di alterare i messaggi.