Secondo gli studiosi, a essere particolarmente interessati a un database di questo tipo sarebbero truffatori e spammer alla ricerca di nuovi bersagli. I dati mostrano però anche milioni di numeri registrati su WhatsApp in paesi in cui l’app è ufficialmente vietata, tra cui 2,3 milioni in Cina e 1,6 milioni in Myanmar. I governi locali, osservano i ricercatori, avrebbero potuto sfruttare la vulnerabilità per individuare gli utenti che usavano l’app illegalmente. In Cina, secondo alcune testimonianze, diverse persone musulmane sarebbero state detenute semplicemente per avere WhatsApp sul telefono.
Dal furto dei dati alle chiavi duplicate
Proseguendo l’analisi, il team ha esaminato anche le chiavi crittografiche associate ai 3,5 miliardi di account. Si tratta delle lunghe stringhe di caratteri utilizzate per ricevere messaggi cifrati nel protocollo di crittografia end-to-end di WhatsApp. Dallo studio è emerso che un numero sorprendente di account utilizzava chiavi duplicate creando un ulteriore problema di sicurezza, dal momento che chiunque disponga della stessa chiave di un altro utente può potenzialmente decifrarne i messaggi.
Alcune chiavi risultavano riutilizzate centinaia di volte e 20 numeri statunitensi utilizzavano addirittura una chiave composta interamente di zeri. Secondo i ricercatori, però, la duplicazione delle chiavi sarebbe probabilmente legata all’uso di client WhatsApp non autorizzati, più che a un difetto dell’app stessa. Esaminando più da vicino alcuni degli account con chiavi ripetute, hanno anche notato che somigliavano a profili usati per attività di truffa, il che suggerisce che alcune operazioni di scamming su WhatsApp potrebbero basarsi su client con funzionalità di cifratura compromesse.
L’assenza di limitazione della frequenza, spiegano gli studiosi, evidenzia un problema ancora più profondo nei servizi come WhatsApp. I numeri di telefono non hanno infatti un grado di casualità sufficiente per fungere da identificatori univoci all’interno di una piattaforma con miliardi di utenti. Questo fa sì che la limitazione della frequenza resti l’unico strumento disponibile per impedire lo scraping dei dati su larga scala, una contromisura che peraltro non potrà mai essere completamente sicura se WhatsApp continuerà a privilegiare la comodità nella ricerca dei contatti. Nel frattempo, l’azienda ha iniziato a testare in beta una funzione basata su username che potrebbe offrire un approccio più solido in termini di privacy.
“I numeri di telefono non sono stati progettati come identificatori segreti, eppure è così che vengono utilizzati nella pratica”, afferma Judmayer. “Se avete un servizio enorme, usato da più di un terzo della popolazione mondiale, e questo è il sistema usato per trovare i contatti, allora c’è un problema”.
Questo articolo è apparso originariamente su Wired US.
