Dei ricercatori spagnoli sono riusciti a scoprire una vulnerabilità che, se sfruttata, porterebbe alla sospensione dell’account di WhatsApp. Per fare ciò basta semplicemente conoscere il numero di telefono della persona che si vuole attaccare, e il fatto che oltre cinquecento milioni di numeri siano stati sottratti a Facebook proprio di recente costituisce una grande occasione per i criminali informatici.

In cosa consiste il bug di WhatsApp

La semplicità con la quale un criminale informatico può arrivare a far sospendere un account di WhatsApp è spaventosa. Non gli occorre altro che aver installato l’applicazione sullo smartphone e essere a conoscenza del numero di cellulare che si vuole attaccare, per tentare di accedere all’account a esso associato. Mentre la vittima continuerà a ricevere i codici di verifica tramite SMS, il criminale informatico continuerà a sbagliare il codice di proposito per prolungare i tempi di attesa per la ricezione di un nuovo codice fino a raggiungere le 12 ore.

Fin qui “tutto bene”, nel senso che la vittima riceverà solo fastidiosi SMS ma WhatsApp continuerà a funzionare correttamente. Il problema sorge dal momento in cui, per un motivo o per un altro, si dovesse disinstallare e installare nuovamente l’applicazione. In tal caso ci sarebbero da attendere ben 12 ore per poter richiedere un nuovo codice di verifica e tornare a utilizzare WhatsApp.

Però, attenzione: il criminale informatico può entrare nuovamente in gioco contattando l’assistenza di WhatsApp e, spacciandosi per la vittima dell’attacco, chiedere la disattivazione dell’account a causa di un furto dello smartphone. Una risposta automatica conferma la disattivazione. A questo punto, la vittima verrà disconnessa dal suo account e per poter accedervi nuovamente dovrà obbligatoriamente attendere la ricezione di un nuovo codice, ma per farlo dovrà comunque aspettare che scadano le dodici ore.

Terminate le dodici ore, se il criminale informatico prova nuovamente a effettuare l’accesso all’account WhatsApp della vittima, dopo una serie di tentativi l’applicazione si bloccherà definitivamente con il messaggio “Riprova dopo -1 Secondi” e l’account verrà bannato. A questo punto, la vittima ha a sua disposizione 30 giorni per contattare WhatsApp e risolvere il problema. Al termine dei trenta giorni, l’account verrà eliminato in modo definitivo. La richiesta di risoluzione del problema richiede almeno 48 ore per essere processata, quindi in ogni caso ci sarà comunque da attendere.

Purtroppo per chi ha l’autenticazione a due fattori attiva su WhatsApp, questa non impedisce ai criminali informatici di attuare questa particolare forma di attacco, in quanto il codice di verifica viene richiesto solamente quando l’applicazione è installata e attiva.