Basta una foto per hackerare WhatsApp e Telegram? Scoperta una nuova vulnerabilità
Da qualche mese sia WhatsApp che Telegram, le due app di messaggistica istantanea più popolari, hanno deciso di offrire agli utenti una versione web delle loro piattaforme. Un modo per chattare direttamente dal computer, sincronizzato tramite un QR code allo smartphone. Qualcuno ha parlato di concorrenza a Skype, e in effetti le due piattaforme con l'approdo sui desktop sono diventate molto utilizzate anche in ambito lavorativo.
Ma è proprio dalle versioni web che arriva una pessima notizia per gli utenti. I ricercatori di Check Point Software Technologies hanno appena annunciato di aver scoperto una nuova vulnerabilità nelle piattaforme online di WhatsApp e Telegram (WhatsApp Web e Telegram Web). Sfruttando questa vulnerabilità, gli hacker potrebbero prendere il controllo completo sugli account e accedere alle conversazioni personali e di gruppo delle vittime, alle foto, ai video e agli altri file condivisi, alla lista dei contatti e molto altro ancora. Entrambe le piattaforme utilizzano la crittografia end-to-end, una modalità che rende possibile la visione di un contenuto solo ai due utenti che comunicano. Ed è stata proprio questa tipologia di sicurezza a impedire agli sviluppatori delle due società di individuare la falla.
«Questa nuova vulnerabilità espone centinaia di milioni di utenti WhatsApp Web e Telegram Web al rischio di vedersi sottrarre il proprio account» ha dichiarato Oded Vanunu, head of product vulnerability research at Check Point, che poi ha aggiunto «Inviando semplicemente una foto dall'aspetto innocente, un utente malintenzionato potrebbe ottenere il controllo sull'account, accedere alla cronologia dei messaggi, a tutte le foto che sono state condivise, e inviare messaggi per conto dell'utente».
In sostanza, come ci ha spiegato David Gubiani, Security Engineering Manager di Check Point Software Technologies, sfruttando questa vulnerabilità, l'hacker invia alla vittima un codice malevolo, nascosto all'interno di un'immagine dall'aspetto innocente. Il file può essere modificato per inserire contenuto appealing e aumentare così la probabilità che chi lo riceva lo apra. Non appena la vittima clicca sull'immagine, l'hacker può ottenere il pieno accesso ai dati archiviati dall'utente WhatsApp o Telegram, ottenendo così il controllo dell'account della vittima. In questo modo l'hacker ha poi la possibilità di inviare file malevoli ai contatti della vittima, creando così un attacco diffuso che coinvolge la rete di WhatsApp e Telegram.
Check Point ha comunicato queste informazioni ai team di sicurezza di WhatsApp e Telegram l'8 marzo 2017. Le due società (una in California, l'altra in Germania) hanno rilevato il problema di sicurezza e sviluppato una correzione per i client web a livello globale. «Fortunatamente, WhatsApp e Telegram hanno risposto in modo rapido e responsabile e hanno rilasciato una mitigazione contro lo sfruttamento di questa falla in tutti i client web» ha aggiunto Oded Vanunu. È molto importante, però, sottolineare che gli utenti di WhatsApp Web e Telegram Web che desiderano essere sicuri di usare la versione più recente dell'app devono riavviare il browser. David Gubiani ha detto al Sole24Ore che il numero di utenti infettati non è chiaro «ma l'impatto potrebbe colpire centinaia di milioni di persone».
Fonte: www.ilsole24ore.com/art/tecnologie