Check Point Software Technologies, azienda israeliana tra i principali fornitori mondiali di soluzioni di cybersecurity, ha scoperto una nuova falla di WhatsApp che permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all'interno dei gruppi di discussione o delle chat private. Gli hacker potrebbero sfruttare questa vulnerabilità non solo dirottando la conversazione a loro vantaggio, ma anche creando e diffondendo fake news, assumendo così un potere immenso.
Secondo Check Point Security questa vulnerabilità potrebbe causare tre possibili azioni criminali: sostituzione della vera risposta di un utente con un'altra puramente inventata, citazione di un messaggio mentre si risponde in un gruppo, così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo e infine invio di messaggi a membri di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario. Il messaggio di risposta arriverà, invece, all'intero gruppo.
Nel primo caso, il malintenzionato manipola il testo così da fornire una risposta che potrebbe essere di grande beneficio per lui. Nel secondo caso, i criminali informatici potrebbero diffondere informazioni errate su un determinato prodotto e causare così gravi danni anche d'immagine a un'azienda. Nel terzo caso, invece, gli hacker potrebbero trarre in inganno le persone che potrebbero svelare segreti a loro insaputa.
La demo video qui di seguito mostra come questi attacchi potrebbero apparire davvero reali:
Attualmente, WhatsApp conta più di 1,5 miliardi di utenti, oltre un miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno. Inoltre, l'app di messaggistica, ora di proprietà di Facebook, prevede di aggiungere funzionalità business per supportare le aziende nella vendita dei loro prodotti e nella gestione del servizio di customer care attraverso l'app. È facilmente intuibile come una falla di questo tipo, se sfruttata, potrebbe causare danni a un'azienda dal valore non quantificabile.
WhatsApp, inoltre, assume un ruolo sempre più centrale in periodo di elezioni, soprattutto nei Paesi in via di sviluppo. All'inizio di quest'anno, in India, WhatsApp è stato utilizzato per inviare messaggi, alcuni dei quali erano completamente falsi. Tramite le tecniche di social engineering dunque gli hacker potrebbero riuscire a indurre l'utente a compiere azioni di cui poi si pentirà.
Whatsapp ha comunque già fatto sapere tramite un portavoce di star valutando con attenzione il caso, ma che la sicurezza del sistema di crittografia end-to-end non è comunque in discussione. L'azienda di Meno Park ha inoltre sottolineato come la maggior parte delle conversazioni veicolate dalla propria app siano dirette da un utente e all'altro e che le chat di gruppo mediamente non superano le sei persone, rendendo dunque relativamente facile controllare la veridicità dei messaggi. È stato ricordato inoltre che verificare che la citazione non sia un fake è semplicissimo, essendo sufficiente cliccare sul messaggio citato e tornare al punto originario della discussione.
È comunque sempre bene applicare sempre le regole del buon senso, incluso quella di non credere a notizie che appaiono da subito abbastanza insolite e quella di controllare i fatti, verificando che la storia che si legge sui social sia presente anche nel web.