immagine-preview

Gen 19, 2018

“Si può accedere segretamente ai gruppi WhatsApp”. Ma l’azienda smentisce

Secondo uno studio di esperti tedeschi, chi gestisce i server potrebbe inserire altri utenti nei gruppi bypassando l'amministratore. Da WhatsApp fanno sapere che nessuno può essere aggiunto segretamente e ha introdotto una funzionalità che ha reso più difficile la creazione di falsi messaggi

Più volte abbiamo discusso di servizi di messagistica sicura che rendono impossibile l’intercettazione delle comunicazioni persino ai gestori stessi delle infrastrutture, tutto ciò grazie all’implementazione di meccanismi di crittografia noti come end-to-end encryption.

Leggi anche Benvenuti in Signal, l’app per telefonare in segreto

Facebook, WhatsApp, Signal e molti altri implementano da tempo l’end-to-end encryption, di recente Skype ha annunciato l’adozione di questa tipo di processi per proteggere i propri clienti da spioni.

Una notizia tuttavia ha fatto preoccupare e non poco gli utenti di popolari applicazioni di instant messaging come WhatsApp, Signal e Threema: parrebbe infatti che un utente malintenzionato possa segretamente intercettare le chat di gruppo sebbene siano crittografate.

La scoperta dei ricercatori

La ricerca è stata avviata da un gruppo di esperti della Ruhr-Universität Bochum (RUB) in Germania i quali avrebbero provato che a causa di alcune falle, coloro che controllano i server WhatsApp / Signal potrebbero aggiungere segretamente nuovi membri a qualsiasi gruppo privato senza il permesso dell’amministratore.

I ricercatori hanno sottolineato la profonda differenza nella gestione delle comunicazioni tra due utenti e di chat multiutente, in questo secondo caso i server gestiscono l’intero processo di comunicazione.

“Contrariamente alle classiche chat multiutente, per esempio, a IRC in cui tutti i membri sono online, i gruppi nei protocolli IM devono lavorare in modo asincrono. I gruppi devono poter essere creabili ed i messaggi devono essere consegnabili anche se alcuni membri del gruppo sono offline” si legge nel paper pubblicato dai ricercatori, intitolato “More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema”.

“Abbiamo osservato due falle nella progettazione del protocollo per la gestione dei gruppi di WhatsApp. Le falle hanno risultati simili agli attacchi a Signal, sebbene il protocollo e lo sfruttamento sottostanti differiscano”

La visibilità delle chat

Gli esperti hanno scoperto che sia Signal che WhatsApp non riuscirebbero ad autenticare correttamente un’entità che sta aggiungendo un nuovo membro al gruppo, questo significa che un utente non autorizzato che non è un amministratore di gruppo potrebbe aggiungere un nuovo membro al gruppo che avrebbe quindi visibilità delle conversazioni tra i suoi membri.

Gli esperti sostengono che è possibile aggiungere un nuovo membro senza notificare l’azione ad altri membri, questo sarebbe possibile perché un amministratore o un dipendente infedele del gestore del servizio con accesso al server potrebbe manipolare (o bloccare) i messaggi di gestione del gruppo.

“Sfruttando le falle si possono memorizzare nella cache i messaggi inviati al gruppo, leggere prima il loro contenuto e decidere in quale ordine vengono consegnati ai membri. Inoltre, il server WhatsApp può inoltrare questi messaggi ai membri individualmente in modo tale che una combinazione di messaggi scelta in modo opportuno possa aiutarlo a coprire le tracce. “

WhatsApp si difende

Secondo WhatsApp, la situazione è molto diversa perché se un nuovo membro viene aggiunto a un gruppo, gli altri membri del gruppo riceveranno una notifica.

“Abbiamo esaminato attentamente questo problema. I membri esistenti vengono avvisati quando nuove persone vengono aggiunte ad un gruppo WhatsApp. Abbiamo creato WhatsApp in modo che i messaggi di gruppo non possano essere inviati ad un utente nascosto “, ha detto a Wired un portavoce di WhatsApp.

“La privacy e la sicurezza dei nostri utenti è cruciale per WhatsApp. Ecco perché raccogliamo pochissime informazioni e tutti i messaggi inviati su WhatsApp sono crittografati end-to-end. “

Il team dell’università della Ruhr University ha suggerito per la risoluzione del problema l’aggiunta di un meccanismo di autenticazione per i messaggi di gestione dei gruppi, in questo modo solo gli amministratori legittimi possono gestire le attività di più chat.

I ricercatori hanno riportato i risultati delle loro indagini a WhatsApp in luglio, in risposta al loro rapporto, WhatsApp ha risolto il problema introducendo una funzionalità che ha reso più difficile la creazione di falsi messaggi di controllo dei gruppi anche dopo che un utente malintenzionato ha ottenuto una chiave per decifrarli.

WhatsApp ha risolto il problema introducendo una funzionalità che ha reso più difficile la creazione di falsi messaggi

Come anticipato, gli esperti hanno studiato anche le applicazioni Threema e Signal riscontrando problemi simili.

 

Per Threema, i ricercatori hanno rilevato lievi problemi, un utente malintenzionato che controlla il server può riprodurre i messaggi o aggiungere utenti a un gruppo che è stato rimosso. Una volta informati dei problemi, Threema ha rilasciato una versione per ha risolto le falle.

Per Signal l’attacco è più difficile perché l’attaccante dovrebbe non solo controllare il server Signal, ma anche conoscere un numero misterioso chiamato Group ID. Ciò significa che per portare avanti l’attacco è necessaria la conoscenza del Group ID che può essere ottenuto da uno dei dispositivi dei membri del gruppo, ma in un simile scenario si avrebbe quindi già la compromissione del gruppo in quanto l’attaccante già accede ad un dispositivo di un membro leggendo le conversazioni.

 

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter