di

Una Falla su WhatsApp permetterebbe a ‘potenziali aggressori’ di spiare chat di gruppo criptate

Una rivelazione più drammatica del 2018 – un intruso può intercettare e leggere le chat di gruppo private e criptate con il sistema end-to-end e le applicazioni di messaggistica istantanea come WhatsApp e Signal.

Nel contesto della protezione contro tre tipi di attacchi, ovvero un utente malintenzionato, un aggressore di rete e un server dannoso, un protocollo di crittografia end-to-end svolge un ruolo fondamentale nella protezione dei servizi di messaggistica istantanea.

Lo scopo principale della crittografia end-to-end è quella di non fare più affidamenti a server intermedi in modo tale che nessuno, nemmeno la società o il server che trasmette i dati, possa decriptare i messaggi o abusare della sua posizione centralizzata per manipolare il servizio.

In altre parole – supponendo lo scenario peggiore -un dipendente aziendale corrotto non dovrebbe essere in grado di intercettare, in nessun caso, la comunicazione crittografata end-to-end.

Tuttavia, fino ad ora anche popolari servizi di messaggistica criptata end-to-end, come WhatsApp, Threema e Signal, non sono riusciti a mettere, del tutto, a punto, il metodo di dimostrazione a conoscenza zero.

I ricercatori della Ruhr-Universität Bochum (RUB) in Germania hanno scoperto che chiunque controlli il server di WhatsApp/Signal, può segretamente aggiungere nuovi membri a qualsiasi gruppo privato, consentendo loro di spiare le conversazioni di gruppo, anche senza il permesso dell’amministratore

Come descritto dai ricercatori, nella comunicazione di coppia (quando due soli utenti comunicano tra loro) il server svolge un ruolo limitato, ma in caso di chat multi-utente (chat di gruppo dove i messaggi criptati sono trasmessi a molti utenti), il ruolo dei server si rafforza al fine di gestire l’intero processo.

È lì che il problema risiede, vale a dire nel fare affidamento ai server della società per gestire i membri del gruppo (che alla fine hanno pieno accesso alla conversazione di gruppo e alle loro azioni).

Come spiegato nella recente pubblicazione di RUB,  intitolata “ Quando Più significa meno: sulla sicurezza delle Chat di Gruppo End-to-End su Signal, WhatsApp e Threema”, poiché sia Signal che WhatsApp non riescono a autenticare correttamente chi sta aggiungendo un nuovo membro al gruppo, è possibile per una persona non autorizzata — quindi non un amministratore di gruppo oppure un membro del gruppo – riuscire ad aggiungere qualcuno alla chat di gruppo.

E inoltre? Nel caso vi stiate chiedendo se l’aggiunta di un nuovo membro al gruppo comporti l’emissione di notifica visiva ad altri membri, sappiate che ciò non avviene.

Secondo i ricercatori, un amministratore immischiato o un dipendente canaglia con accesso al server potrebbe manipolare (o bloccare) i messaggi di gestione del gruppo che avrebbero il compito di notificare  i membri del gruppo circa l’aggiunta di un nuovo membro.

“Le vulnerabilità descritte consentono all’aggressore A, che controlla il server di WhatsApp o ha la possibilità di infrangere il protocollo crittografico di presentazione, di prendere il pieno controllo del gruppo. Tuttavia, entrando nel gruppo, lascia tracce poiché questa operazione è elencata nell’interfaccia grafica dell’utente.  Inoltre, secondo il report, il server WhatsApp può utilizzare il fatto che può riordinare furtivamente e rilasciare i messaggi nel gruppo.

“In tal modo può memorizzare nella cache i messaggi inviati al gruppo, leggere il loro contenuto prima e decidere in quale ordine consegnarli ai membri. Inoltre, il server WhatsApp può trasmettere questi messaggi ai membri individualmente in modo che una combinazione sottilmente scelta di messaggi possa aiutare a coprire le tracce.”

WhatsApp ha riconosciuto il problema, ma ha sostenuto che se un nuovo membro viene aggiunto a un gruppo, diciamo da chiunque, gli altri membri del gruppo sono senz’altro avvisati.

Il portaparola di WhatsApp ha espresso a Wired la loro posizione come segue: “Abbiamo esaminato con attenzione questo problema. Quando nuovi contatti vengono aggiunti ad un gruppo WhatsApp, i membri esistenti ne ricevono regolare notifica. WhatsApp è stata concepita in modo tale che i messaggi del gruppo non possano essere inviati ad un utente nascosto.”

“La privacy e la sicurezza dei nostri utenti rappresentano temi di straordinaria importanza per WhatsApp. Per questo raccogliamo pochissime informazioni e tutti i messaggi inviati su WhatsApp sono criptati end-to-end.”

Ma se non si fa parte di un gruppo con membri molto selezionati, sono sicuro che molti di voi ignorerebbero tali notifiche facilmente.

I ricercatori hanno inoltre consigliato alle aziende di risolvere il problema, andando ad aggiungere, semplicemente, un meccanismo di autenticazione per far sì che i messaggi di gestione dei gruppi “firmati” possano essere emessi esclusivamente dall’amministratore del gruppo.

Tuttavia, questo tipo di attacco non è un’impresa facile (eccezione:servizi sotto pressione legale), pertanto gli utenti non dovrebbero essere preoccupati.

Scrivi un commento

Commento