Due ricercatori di sicurezza scoprono una truffa alla portata di tutti capace di bloccare un’account WhatsApp. Non esistono ad oggi rimedi risolutori.
Una semplicissima procedura può far bloccare un account WhatsApp, aggirando a piè pari il meccanismo di autenticazione a due fattori incorporato dentro al servizio di messaggistica di Mark Zuckerberg. E le conseguenze sono ancor più dirompenti se si tiene conto della risibile fattibilità dell’intento: sarà sufficiente avere d’appresso uno smartphone qualsiasi e un indirizzo e-mail verificato, non essendo infatti necessario conoscere sofisticate nozioni di informatica.
La scoperta di due ricercatori di sicurezza, Luis Márquez Carpintero e Ernesto Canales Pereña, è a dir poco inquietante se si guarda al mastodontico numero di utenti registrati su WhatsApp. E’ bene chiarirlo sin da subito, non si tratta di una vera e propria falla di sicurezza provocata da un attacco hacker, bensì più propriamente di un “bug” o, meglio ancora, di una procedura. Sì, perché a provocare la sospensione dell’account WhatsApp sono le stesse linee guida disposte dalla piattaforma controllata da Facebook, sebbene sfruttate per finalità non propriamente meritevoli da parte degli utenti più malintenzionati.
Ma come si blocca un account personale, non avendo materialmente a disposizione la scheda telefonica del consumatore preso di mira? Come anticipato in apertura, la chiave di volta è legata al possesso di uno smartphone e, soprattutto, di un indirizzo e-mail verificato. Ricostruendo la vicenda nel dettaglio, sarà in primo luogo sufficiente installare l’app WhatsApp sul proprio dispositivo mobile – a prescindere dalla marca, tipologia e persino sistema operativo – e inserire il numero di cellulare del malcapitato utente. Il sistema di autenticazione a due fattori invierà a questo punto un codice tramite SMS nella SIM del soggetto preso di mira e proprio da qui s’innesca la procedura. Il malintenzionato, non conoscendo il numero cifrato, inserirà a casaccio codici sbagliati fino a quando WhatsApp non bloccherà temporaneamente l’account dell’utente per ragioni di sicurezza.
L’ultimo passaggio della truffa – perché di questo si tratta – consiste nel contatto tramite e-mail al supporto tecnico di WhatsApp affermando che il vecchio smartphone è andato perso e perciò si chiede lo sblocco dell’account. L’addetto accondiscende alla richiesta, permettendo così al malintenzionato di avere il pieno controllo dell’account WhatsApp. E per recuperarlo? Basterà fare la trafila al contrario.
POTREBBE INTERESSARTI>>>Fast and Furious 9, annuncio di Vin Diesel: “Arriverà presto”
Per WhatsApp “problema improbabile”
Fortunatamente, la procedura di cui sopra non provoca ripercussioni sotto il fronte della sicurezza: pur entrando nella disponibilità dell’account, l’utente non avrà modo di leggere messaggi e la cronologia delle conversazioni effettuate e ricevute, dal momento che incorporati nello smartphone dell’utente preso di mira. Semmai, si dovrà prendere il possesso materiale del dispositivo, ma questa è tutta un’altra storia.
POTREBBE INTERESSARTI>>>Diritti tv, DAZN stecca: ecco perché
WhatsApp si è detta a conoscenza della problematica e – al momento in cui abbiamo scritto l’articolo – non esiste rimedio alla stortura. La società controllata da Facebook sembra aver fatto “spallucce”, ritenendo “improbabile il problema“. Conclusioni tutt’altro che accolte dai ricercatori di sicurezza: la perdita dell’account potrebbe infatti essere definitiva se si compie per tre volte di fila la procedura descritta.