Ricercatori dell’Università di Vienna, insieme al centro SBA Research, hanno rilevato una falla di sicurezza inaspettatamente elementare nel sistema di rilevamento contatti di WhatsApp, il meccanismo attraverso cui l’applicazione controlla se un determinato numero risulta attivo sul servizio.
Attraverso l’automazione di queste verifiche, senza imbattersi in restrizioni tecniche significative, il team è riuscito a compilare un database contenente 3,5 miliardi di numerazioni telefoniche distribuite in 245 nazioni. Il tutto senza violare server o compromettere la cifratura end-to-end, ma semplicemente utilizzando una funzionalità già integrata nell’applicazione.
L’operazione non ha necessitato di competenze sofisticate: è stato sufficiente testare in modo sistematico combinazioni di numeri telefonici. Oltre alla conferma dell’esistenza dell’account, il sistema ha fornito dati che WhatsApp rende accessibili per impostazione predefinita, come immagini del profilo (ottenute nel 57–59% delle situazioni), messaggi di stato (circa il 29%), modello di dispositivo e chiavi crittografiche pubbliche. La raccolta ha svelato anche dettagli interessanti, come utilizzatori attivi in territori dove l’applicazione è formalmente proibita, inclusi Cina, Myanmar e Corea del Nord.
Conseguenze per la sicurezza e segnalazioni ignorate
Lo studio ha portato alla luce una criticità già nota da tempo: fin dal 2017 era stata evidenziata la possibilità di enumerare gli account WhatsApp, anche se in maniera circoscritta. Nonostante ciò, la piattaforma non ha implementato ostacoli veramente efficaci contro interrogazioni automatizzate su vasta scala.
Gli studiosi hanno inoltre sottolineato problematiche aggiuntive: circa metà delle numerazioni coinvolte nella violazione dei dati Facebook del 2021 risulta tuttora operativa su WhatsApp e sono state rilevate irregolarità nel riutilizzo di alcune chiavi di cifratura, specialmente da parte di applicazioni non autorizzate.
La replica di Meta
Dopo aver identificato la vulnerabilità, il gruppo ha eliminato le informazioni raccolte e avvisato Meta, che ha confermato l’adozione di contromisure per limitare il problema. Secondo la società, non esistono evidenze che questa falla sia stata utilizzata da soggetti malintenzionati. Meta ha inoltre sottolineato la cooperazione con i ricercatori attraverso il proprio programma Bug Bounty, riconoscendo che la metodologia impiegata oltrepassava i vincoli stabiliti per le richieste automatiche. Malgrado le garanzie fornite, l’episodio riaccende il confronto sulla necessità di verifiche più stringenti e maggiore chiarezza nella gestione dei metadati, specialmente considerando che WhatsApp conta più di due miliardi di utilizzatori globalmente.
Fonte: GitHub