Uno studio rivela vulnerabilità relative alla crittografia dei gruppi WhatsApp

Una recente analisi formale dei protocolli di sicurezza di WhatsApp (potete scaricare il PDF completo a questo indirizzo) ha rivelato una potenziale vulnerabilità che potrebbe preoccupare più di qualche utente. Un team di ricercatori ha scoperto che, nonostante la crittografia end-to-end tanto pubblicizzata da Meta, l’app presenta una vulnerabilità significativa nella gestione dei messaggi di gruppo. Andiamo a vedere nel dettaglio i risultati dell’analisi e le implicazioni pratiche.

I server di WhatsApp possono aggiungere membri “fantasma” ai gruppi: ecco cosa c’è da sapere

Lo studio, condotto da un team di ricercatori guidato da Martin R. Albrecht del King’s College di Londra, ha analizzato nel dettaglio il funzionamento dell’app di messaggistica che vanta miliardi di utenti in tutto il mondo. Dopo aver esaminato e descritto formalmente i protocolli crittografici utilizzati, i ricercatori hanno sostanzialmente dato a WhatsApp una valutazione positiva, confermando che l’app funziona in modo sicuro e coerente con quanto dichiarato ufficialmente.

Nonostante ciò è emersa una criticità significativa che non può essere trascurata: WhatsApp non dispone di alcun meccanismo di crittografia per la gestione dei gruppi. In pratica, questo significa che i server di WhatsApp potrebbero potenzialmente aggiungere nuovi membri a un gruppo senza che sia necessaria una verifica crittografica da parte degli amministratori. Un client ufficiale mostrerà la notifica dell’aggiunta, ma non ha modo di impedire tecnicamente che ciò avvenga. Sappiamo bene, infatti, che l’app mostra una notifica quando qualcuno viene aggiunto, ma il problema è che non esiste una protezione tecnica che impedisca questa azione.

Il processo di aggiunta di nuovi membri a un gruppo WhatsApp funziona in questo modo:

1. Un membro del gruppo invia al server un messaggio non firmato crittograficamente che designa quali utenti sono membri del gruppo;
2. Il server informa tutti i membri esistenti dell’aggiunta;
3. I membri esistenti hanno l’opzione di decidere se accettare messaggi dai nuovi membri e se crittografare i messaggi scambiati con loro.

La mancanza di firme crittografiche in questo processo crea una potenziale falla di sicurezza, che potrebbe essere sfruttata da chi ha accesso ai server o da eventuali hacker.

Il rischio di essere presi di mira è praticamente nullo per l’utente medio. Il discorso cambia drasticamente, invece, se utilizzate l’app per comunicazioni sensibili o riservate, specialmente in ambito professionale.

Offerte Bomba!

Solo errori di prezzo o sconti incredibili ma verificati!

Le altre app di messaggistica non se la passano tanto meglio

È interessante notare come altre app di messaggistica presentino problematiche simili. Matrix, una piattaforma per la collaborazione e la messaggistica decisamente poco popolare, almeno qui in Italia, soffre della stessa vulnerabilità, mentre Telegram è persino peggio, in quanto non offre alcuna crittografia end-to-end per i messaggi di gruppo. L’unica eccezione positiva è rappresentata da Signal, che implementa una vera gestione crittografica dei gruppi, garantendo che solo gli amministratori autorizzati possano aggiungere nuovi membri attraverso un sistema di chiavi crittografiche condivise solo tra i partecipanti.

La questione non è puramente teorica. Recentemente un giornalista è stato accidentalmente aggiunto a una chat di alti funzionari della Casa Bianca che discutevano di operazioni militari sensibili. In quel caso si è trattato di un errore umano, ma immaginate cosa potrebbe accadere se un attaccante con accesso ai sistemi di WhatsApp decidesse di inserire membri non autorizzati in gruppi che al loro interno discutono o contengono dati sensibili.

WhatsApp, da parte sua, ha risposto allo studio sottolineando che, come abbiamo avuto modo di illustrare in precedenza, l’app notifica sempre quando nuovi membri si uniscono a un gruppo e che gli utenti possono attivare avvisi di sicurezza per eventuali modifiche ai codici crittografici, oltre ad aver dichiarato di essere impegnata nell’aggiungere continuamente nuovi livelli di protezione (anche se non sono stati specificati quali nel dettaglio).

Di seguito trovate le dichiarazioni ufficiali dell’azienda:

Abbiamo esaminato il rapporto dei ricercatori e apprezziamo il loro lavoro. Abbiamo progettato WhatsApp per offrire messaggistica semplice, affidabile e privata su larga scala a miliardi di persone. Per tutti i gruppi, ricevete una notifica quando qualcuno nuovo si unisce, e potete anche abilitare notifiche di sicurezza che vi avvisano in modo evidente di eventuali modifiche ai codici di sicurezza con cui state chattando. Continuiamo ad aggiungere nuovi livelli di protezione e continueremo a farlo.

Se fate parte di quella fetta di utenti che, legittimamente, è particolarmente attenta alla propria privacy o siete soliti gestire comunicazioni sensibili, il nostro consiglio è quello di prestare maggiore attenzione alle notifiche di aggiunta nei gruppi WhatsApp e, nei casi più critici, di valutare l’utilizzo di applicazioni alternative, che offrono garanzie di sicurezza superiori proprio nella gestione dei gruppi.