Non c’è pace per gli utenti di WhatsApp: Android e iOS sono a rischio

Logo di WhatsAppScongiurate le intercettazioni dei messaggi inviati dagli hotspot pubblici con l’introduzione della crittografia, WhatsApp presenta un’altra vulnerabilità — se possibile, ancora più grave della precedente. Le applicazioni su Android e iOS possono essere utilizzate da malintenzionati per entrare nel profilo dell’utente con un metodo che utilizza gli stessi strumenti messi a disposizione dal servizio agli sviluppatori. Con un semplice script in PHP, è facile impossessarsi delle credenziali di chi utilizza WhatsApp per comunicare.

La popolare applicazione è disponibile su BlackBerry, Symbian e Windows Phone, ma i pericoli per la sicurezza sono stati verificati soltanto con Android e iOS. In particolare, WhatsApp utilizza l’International Mobile Equipment Identity (IMEI) dei dispositivi che installano il sistema operativo di Google e l’indirizzo Media Access Control (MAC) su quelli di Apple nella generazione della password per il server. Entrambi sono facilmente rintracciabili: il primo è scritto sotto la batteria, il secondo è indicato tra le impostazioni.

Conoscendo l’IMEI e/o il MAC dello smartphone, chiunque potrebbe accedere al profilo dell’utente generando un hash in MD5: un diffuso algoritmo di crittografia. Ali Hubail, uno sviluppatore del Barhein, ha realizzato WhatsAPI con l’intento d’interfacciarsi all’applicazione dal web. Interagendo col server di WhatsApp ha scoperto quanto sia facile impossessarsi dell'identità altrui e consultare l’intera cronologia delle conversazioni. Un rischio per oltre 20 milioni di utenti che scambiano più d'un miliardo di messaggi al giorno.

Via | The H Security

  • shares
  • Mail