Nell’aprile dello scorso anno il ricercatore Tobias Boelter riportò nel proprio blog (e a Facebook) una vulnerabilità riscontrata nella funzione di “re-transmission” di Whatsapp, funziona in questo modo:
Utente A invia ad utente B un messaggio crittografato, questo usa una chiave privata dell’utente A ed una chiave pubblica dell’utente B, tutto questo tramite i server di Whatsapp. Supponiamo ora che l’utente A invii diversi messaggi all’utente B che, nel frattempo, ha cambiato dispositivo ed ha riconfigurato l’account Whatsapp nel nuovo device, questa procedura forzerà la creazione di una nuova chiave pubblica (e privata) associata all’account. All’accesso riceverà i messaggi utilizzando la nuova chiave di criptazione. (se ne parla nel video di seguito al minuto 48)
Il problema risiede proprio in questo meccanismo: infatti un attaccante può intenzionalmente rimpiazzare la chiave dell’utente B con una propria e quindi ricevere i messaggi destinati all’utente B.
Whatsapp riporta ufficialmente che si tratti di una feature e non di una vulnerabilità. In attesa di ulteriori sviluppi, è possibile applicare delle contromisure per questo problema, ovvero la seguente:
In Windows 10 Mobile:
aprire Whatsapp > Impostazioni > account > sicurezza > abilitare le notifiche di sicurezza
In iOS e Android:
aprire Whatsapp > Account > sicurezza > abilitare le notifiche di sicurezza
In questo modo se l’utente/destinatario cambierà chiave di identificazione riceveremo una notifica. In alternativa possiamo valutare delle alternative come indicato in questo articolo: