Un ricercatore tedesco ha individuato una vulnerabilità sulle password di ogni utente in WhatsApp, il programma multipiattaforma che consente di inviare messaggi verso altri utenti iOS, Android e non solo. Sfruttando questa falla è possibile determinare le password degli utenti e inviare messaggi con il loro account.
La notizia è stata riportata da oversecurity.net e arriva a poche settimane dalla correzione, da parte degli sviluppatori, di un’altra falla in WhatsApp che consentiva di memorizzare in chiaro le conversazioni.
Questo significa che si possono inviare e ricevere risposte senza che il destinatario si accorga di nulla e, ancor più importante, neanche il mittente (utente vulnerabile) avrà la minima traccia di quanto accaduto: nella sua cronologia di chat non solo non appariranno i messaggi inviati ma neanche quelli in risposta. Per iOS la situazione è leggermente meno grave, perchè Apple non permette alle app di accedere all’IMEI del dispositivo, per cui risulta molto più gravoso per un malintenzionato sfruttare questa falla di WhatsApp (è necessario calcolarla mediante indirizzo MAC di rete). Le applicazioni Android, invece, sono in grado di raccogliere IMEI e numeri di telefoni e non è improbabile che alcuni sviluppatori stiano già raccogliendo queste informazioni e gli Spammer iniziano già a offrire soldi per ottenere i dati degli utenti. Questo significa che, avendo a disposizione il codice IMEI di due utenti che comunemente si scrivono, attraverso l’attacco Man in the Middle si possono intercettare le loro conversazioni catturando diverse informazioni sensibili rimanendo completamente all’oscuro.
Per tutti i dettagli tecnici vi consigliamo la lettura di questo articolo.
Pacman
Nostradamus
Magical Cat Adventure
Snake