Considerato il miliardo e mezzo di utenti in oltre 180 Paesi di Whatsapp e 23 volte al giorno come media di visualizzazioni dell’utente comune, il potenziale per truffe online, indiscrezioni e fake news a cui è esposta l’applicazione di messagistica di proprietà di Facebook è enorme.
La crittografia end-to-end di WhatsApp in teoria garantisce che solo mittente e destinatario possano leggere i messaggi che si inviano. Tuttavia, il team di ricerca di Check Point Software Technologies, è riuscito a decodificare il codice sorgente di WhatsApp Web e a decifrare con successo il traffico, scoprendo che è possibile manipolare i messaggi citati e diffondere informazioni false da quelle che sembrano essere fonti attendibili.
Risk: sfruttare i messaggi Whatsapp per scopi malevoli
Il team di Check Point Research ha tradotto tutte le funzioni web di WhatsApp in python e ha creato l’estensione Burpsuit per indagarne il traffico evidenziando tre possibili metodi di attacco che sfruttano questa vulnerabilità, tutte tattiche di social engineering per ingannare gli utenti finali.
Quello che può fare un hacker è:
- Usare la funzione “Citare” in una conversazione di gruppo per cambiare l’identità del mittente, anche se questa persona non fa parte del gruppo.
- Modificare il testo della risposta di qualcun altro.
- Inviare un messaggio privato ad un partecipante del gruppo che però sembra un messaggio pubblico per tutti. Quindi quando l’individuo in questione risponde, è visibile a tutti nella conversazione.
Secondo il team di Check Point Research queste vulnerabilità sono critiche e richiedono attenzione. Per dimostrare la gravità di questa vulnerabilità in WhatsApp, è stato creato uno strumento che consente di decifrare la comunicazione di WhatsApp e di alterare i messaggi.
@RIPRODUZIONE RISERVATA
