Nell’aprile dello scorso anno il ricercatore Tobias Boelter riportò nel proprio blog (e a Facebook) una vulnerabilità riscontrata nella funzione di “re-transmission” di Whatsapp, funziona in questo modo:

Utente A invia ad utente B un messaggio crittografato, questo usa una chiave privata dell’utente A ed una chiave pubblica dell’utente B, tutto questo tramite i server di Whatsapp. Supponiamo ora che l’utente A invii diversi messaggi all’utente B che, nel frattempo, ha cambiato dispositivo ed ha riconfigurato l’account Whatsapp nel nuovo device, questa procedura forzerà la creazione di una nuova chiave pubblica (e privata) associata all’account. All’accesso riceverà i messaggi utilizzando la nuova chiave di criptazione. (se ne parla nel video di seguito al minuto 48)

Il problema risiede proprio in questo meccanismo: infatti un attaccante può intenzionalmente rimpiazzare la chiave dell’utente B con una propria e quindi ricevere i messaggi destinati all’utente B.

Whatsapp riporta ufficialmente che si tratti di una feature e non di una vulnerabilità. In attesa di ulteriori sviluppi, è possibile applicare delle contromisure per questo problema, ovvero la seguente:

In Windows 10 Mobile:

aprire Whatsapp > Impostazioni > account > sicurezza > abilitare le notifiche di sicurezza

In iOS e Android:

aprire Whatsapp > Account > sicurezza > abilitare le notifiche di sicurezza

In questo modo se l’utente/destinatario cambierà chiave di identificazione riceveremo una notifica. In alternativa possiamo valutare delle alternative come indicato in questo articolo: