Basta conoscere il numero di telefono associato ad un profilo WhatsApp per prendere possesso di quell'account, WhatsApp lo sa ma ritiene questo attacco improbabile.
Prendere possesso di un account WhatsApp è molto più semplice di quanto si possa pensare e non basta l’autenticazione a due fattori per impedire ad un malintenzionato di farlo. Lo hanno scoperto due ricercatori di sicurezza, Luis Márquez Carpintero ed Ernesto Canales Pereña, che hanno mostrato la procedura a Forbes.
Procedura è proprio la parola corretta, perché tecnicamente non si tratta di un vero e proprio bug: WhatsApp prevede infatti una precisa trafila per verificare gli account che, però, permette a chiunque il “take over" dell’account. Basta solo conoscere il numero di telefono della vittima e avere un indirizzo email valido. Non solo l’autenticazione a due fattori non basta a proteggere l’account, ma è proprio il grimaldello che permette di entrare in possesso del profilo WhatsApp di chiunque altro nel giro di pochissimo tempo. WhatsApp è al corrente di questo problema ma ritiene lo scenario ipotizzato da Carpintero e Pereña “improbabile“.
Perché gli account WhatsApp sono a rischio
Questo “bug“, o trucco per meglio dire, si basa sulla procedura per cambiare telefono su WhatsApp. L’attaccante, in pratica, non deve fare altro che installare da zero WhatsApp su un nuovo telefono e indicare il nostro numero di telefono in fase di attivazione del profilo.
WhatsApp, come da procedura, invierà un codice di verifica al numero indicato (cioè il nostro) e l’attaccante dovrà inserirlo nel nuovo telefono per sbloccare il passaggio da un dispositivo all’altro. But the attacker does not have access to our phone and, therefore, will always enter wrong codes until WhatsApp blocks the account for security for 12 hours.
This is the first step in the way WhatsApp implements two-factor authentication, but it is not enough to protect the users' profile. The attacker, in fact, immediately after locking the account for security will send an email to WhatsApp technical support claiming that the old phone (which is actually ours) has been stolen or lost.
WhatsApp, as ascertained by Carpintero and Pereña, simply verifies the authenticity of the email and unlocks the profile on the new phone. At this point the malicious person has full control of our WhatsApp account.
WhatsApp profile theft: how to defend yourself
The problem with this WhatsApp bug is that there is no real way to defend ourselves. Dopo che il nostro profilo è stato passato da un telefono all’altro, infatti, noi riceveremo all’interno dell’app un messaggio che ci dice che l’account è stato disattivato.
Per riattivarlo dovremo fare la stessa manovra fatta dall’attaccante: immettere più volte un codice sbagliato, far entrare in protezione per 12 ore l’account e inviare una email a WhatsApp. E funzionerà, ma solo finché l’attaccante non farà nuovamente la procedura.
Secondo i due ricercatori WhatsApp tollera al massimo tre cicli del genere, poi perderemo definitivamente il profilo.
Cosa risponde WhatsApp
WhatsApp è stata informata di questo problema, che permette virtualmente a tutti di prendere il possesso di qualunque account.
La risposta di WhatsApp è stata che “fornire un indirizzo email per la verifica in due passaggi aiuta il nostro team del servizio clienti ad assistere le persone nel caso dovessero riscontrare questo improbabile problema. The circumstances identified by these researchers would violate our terms of service and we encourage anyone who needs help to email our support team so we can investigate."