WhatsApp è senza dubbio uno dei servizi più popolari al mondo, quasi indispensabile oramai per gestire i propri rapporti personali e lavorativi e questo suo successo spesso attira le attenzioni di qualche malintenzionato.
Tra i suoi punti di forza vi è anche il sistema di crittografia completa end-to-end (E2EE), soluzione che, ad ogni modo, diventa inutile nel caso in cui non sia supportata da misure che impediscono l’accesso non autorizzato agli account degli utenti.
Ebbene, di recente è stato scoperto un problema di WhatsApp particolarmente pericoloso, in quanto a causa sua chiunque potrebbe disattivare da remoto l’account di un utente senza il suo consenso.
Un serio rischio per gli utenti WhatsApp
Nel caso in cui il proprio telefono principale dovesse essere rubato e non dovesse essere possibile accedere a WhatsApp, il servizio di messaggistica semplifica la richiesta di disattivazione remota dell’account per prevenire un utilizzo improprio: stando a quanto viene spiegato dalla documentazione di supporto, infatti, è sufficiente inviare un’e-mail contenente la frase “Smarrito/rubato: disattiva il mio account” (“Lost/Stolen: Please deactivate my account”) insieme al numero di telefono in formato internazionale completo.
Solo che, così com’è stato messo in evidenza da Jake Moore su Twitter, dato che il processo di WhatsApp è completamente automatizzato e non verifica se il mittente dell’email è l’effettivo proprietario dell’account da disattivare, chiunque potrebbe richiedere la disattivazione di un account (a condizione che conosca il numero di telefono associato).
Dei criminali informatici professionisti potrebbero fare un ulteriore passo avanti e sfruttare questo sistema su larga scala, utilizzando script automatici che disattivano casualmente gli account WhatsApp, eseguendo ripetutamente attacchi Denial of Service (DOS).
Fortunatamente Meta sembra aver compreso la gravità del difetto e per il momento la disattivazione immediata dell’account è stata disabilitata.
Stando alla documentazione di supporto, chi è stato vittima di un simile attacco può recuperare gli account disattivati e tutti i messaggi non letti entro 30 giorni.
Probabilmente nelle prossime settimane il team di WhatsApp riattiverà questa funzionalità ma rendendola più sicura, come ad esempio prevedendo che la richiesta di disattivazione arrivi dall’email collegata all’account da disattivare. Staremo a vedere.