WhatsApp bug: furto di identità

Come riporta il sito Oversecurity, infatti, continuanoo i problemi che coinvolgono la popolare piattaforma di messaggistica istantanea gratiuita: mentre è stato appena risolto il nodo legato alla memorizzazione delle conversazioni in chiaro, un ricercatore tedesco è riuscito a individuare un nuovo punto debole, addirittura decisamente più preoccupante.

Infatti, è possibile violare l’autenticazione degli utenti nel corso della ricezione o dell’invio di messaggi: in altre parole, un estraneo ha la possibilità di entrare in possesso di un profilo WhatsApp spedendo messaggi.

Qualsiasi utente intenzionato a spedire un messaggio o semplicemente a controllare se sono presenti dei messaggi da leggere deve autenticarsi mediante una password sui server: password che viene generata dal software in automatico. Tale parola chiave, tuttavia, può essere riconducibile con facilità, visto che è fondata sul codice Imei del Mac Address per coloro che usano Android, e sull’IMEI dell’interfaccia WiFi per chi usa Apple. Non stiamo a dilungarci su come scoprire tale password, i veri appassionati della materia non ci metteranno molto a scoprire su cosa calcolare l’MD5 :)

Il nome utente, invece, è rappresentato dal numero di cellulare, con davanti il prefisso internazionale privo del doppio zero. Se si utilizza WhatsApp, è sufficiente aprire il browser per autenticarsi, semplicemente digitando un url specifico(https://r.whatsapp.net/v1/exist.php?cc=$countrycode&in=$phonenumber&udid=$password) inserendo, al posto di phonenumber, il proprio numero di telefono, al posto di password la propria password e al posto di countrycode il proprio codice paese (che è 39 per l’Italia). Una volta digitata la stringa, il browser darà vita a una stringa che riporta l’esito positivo dello stato. In altre parole, si è ottenuta la conferma che l’accesso all’account è stato ottenuto. Viceversa, nel caso in cui compaia la scritta Fail, significa che la password è sbagliata.
accesso via browser di WhatsAppSe vi state chiedendo se quanto indicato nell’articolo corrisponde al vero.. iSocial.it ha voluto verificare l’attendibilità della notizia, generando la password richiesta, e testando l’autenticazione tramite browser, questo il risultato: l’accesso funziona.

Utilizzando la stessa tecnica, è possibile spedire messaggi ad altri utenti del servizio di messaggistica, oppure controllare la presenza di messaggi ricevuti. Per altro, è addirittura possibile rendere automatica la procedura, grazie a uno script chiamato WhatsApi che può essere reperito sul circuito GitHub. Tale script consente di mettere alla prova la sicurezza del software rendendo possibile la ricezione e l’invio di messaggi mediante il computer invece che tramite smartphone. Facile da usare, WhatsApi richiede tuttavia l’installazione di Php, o in alternativa una distribuzione Unix Based. Una volta scaricato lo script, occorre estrarre il contenuto, aprire il file chiamato whatsapp.app nella cartella denominata test e grazie all’editor di test modificare i parametri già visti in precedenza (codice Paese, password e nome utente).

Nel campo Nickname, naturalmente, dovrà essere specificato il soprannome, mentre nel campo Sender dovrà essere inserito il numero di telefono anticipato dal country code, senza il doppio zero. Una volta salvato il file, si può avviare lo script, seguendo le istruzioni riportate direttamente dal programma: potremo, quindi, inviare nuovi messaggi e dare il via a conversazioni interattive attraverso i vari parametri.

 

Vediamo insieme cosa ne pensa una forte community di Hacker italiani:

In conclusione WhatsApp è vulnerabile, qualsiasi persona può sostituirci in una conversazione conoscendo esclusivamente il nostro codice IMEI. Si possono inviare e ricevere risposte senza che il destinatario si accorga di nulla e ancor più gravoso neanche il mittente (utente vulnerabile) avrà la ben cheminima traccia di quanto accaduto, nella sua cronologia di chat non solo non appariranno i messaggi inviati ma neanche quelli in risposta.

Le applicazioni Android sono in grado di raccogliere IMEI e numeri di telefoni, non è improbabile che alcuni sviluppatori stiano già raccogliendo queste informazioni e gli Spammer iniziano già a offrire soldiper ottenere i dati degli utenti.

Nell’ipotesi peggiore avendo a disposizione il codice IMEI di due utenti che comunemente si scrivono, attraverso l’attacco Man in the Middle potremmo intercettare le loro conversazioni catturando diverse informazioni sensibili rimanendo completamente all’oscuro.

Una possibile soluzione della vulnerabilità è l’introduzione di un Salt Crittografico all’interno della password rendendo notevolmente più difficile il cracking del Hash Md5.”