Nonostante la sua fama di sicurezza data dalla crittografia end-to-end, WhatsApp affronta una nuova sfida legata alla sicurezza degli account degli utenti.
Da quando ha fatto la sua comparsa sulla scena digitale, WhatsApp è diventato un punto di riferimento per la comunicazione personale e professionale in tutto il mondo. L’immensa popolarità dell’app di messaggistica, tuttavia, la rende un bersaglio appetibile per potenziali malintenzionati. Nonostante la crittografia end-to-end (E2EE), una potente funzione di sicurezza che garantisce la privacy dei messaggi inviati, un recente sviluppo ha portato alla luce una potenziale vulnerabilità nel sistema.
Questo punto di debolezza riguarda la procedura di disattivazione dell’account. Quando un utente perde il proprio telefono e non può più accedere a WhatsApp, il servizio offre la possibilità di disattivare l’account via email. Una soluzione apparentemente pratica e sicura, progettata per impedire un utilizzo improprio del profilo. Tuttavia, Jake Moore, un esperto di sicurezza informatica, ha rilevato una grave falla in questo sistema.
Condividendo le sue scoperte su Twitter, Moore ha illustrato come la procedura di disattivazione dell’account sia completamente automatizzata e non verifichi l’identità del mittente dell’email. Di conseguenza, chiunque conosca il numero di telefono di un utente potrebbe richiedere la disattivazione dell’account. Questa vulnerabilità potrebbe aprire la porta a potenziali attacchi informatici, con criminali che utilizzano script automatici per disattivare gli account in modo casuale, eseguendo attacchi di tipo Denial of Service (DOS).
Di fronte a questa minaccia emergente, Meta, la società madre di WhatsApp, ha reagito prontamente disattivando temporaneamente la funzione di disattivazione immediata dell’account. Una misura provvisoria, adottata per contenere il rischio, mentre si cerca una soluzione più duratura.
Secondo la documentazione ufficiale di WhatsApp, chiunque sia vittima di un attacco di questo tipo può recuperare il proprio account e tutti i messaggi non letti entro 30 giorni. Nonostante ciò, la scoperta di questa vulnerabilità ha sollevato preoccupazioni legittime.
Nelle prossime settimane, il team di WhatsApp si adopererà per riattivare la funzione di disattivazione dell’account, ma con misure di sicurezza aggiuntive. Potrebbe, ad esempio, essere richiesto che la richiesta di disattivazione provenga dall’email collegata all’account da disattivare.
L’incidente, nonostante l’azione tempestiva di Meta, ha sottolineato l’importanza cruciale della sicurezza digitale e la necessità di soluzioni più robuste.