Falla su WhatsApp consente di manipolare i messaggi inviati: ecco i pericoli

I ricercatori di sicurezza di Check Point hanno posto l'attenzione su un problema di WhatsApp che potrebbe consentire ad eventuali utenti con client modificati di ingannare altri utenti intercettandone i messaggi, modificando il contenuto. Questo dà la possibilità di eseguire vere e proprie opere di scam, oltre che diffondere informazioni falsificate e "fake news". Secondo Check Point, citata anche dal New York Times, ci sono tre metodi per ingannare gli utenti di WhatsApp.

Il primo è la modifica di una risposta da parte di un utente, con l'aggressore che potrebbe mettere nella bocca di quest'ultimo parole mai pronunciate. L'utente può inoltre citare un messaggio in una risposta all'interno di una conversazione di gruppo facendo in modo che provenga - almeno all'apparenza - da un interlocutore diverso dall'originale. Il terzo consiste nell'inviare un messaggio ad un utente come se fosse un messaggio di gruppo, ma in realtà viene inviato privatamente. La risposta di quest'ultimo, tuttavia, verrà inviata al gruppo.

È chiaro che trucchetti di questo tipo consentono di ingannare con relativa semplicità soprattutto gli utenti meno preparati, in un periodo in cui scam e fake news sono diventate strategie di manipolazione potenzialmente molto pericolose. La società di sicurezza ha già contattato WhatsApp in modo da informarla della gravità della scoperta, e ha già ricevuto risposta. Un fix specifico non arriverà visto che l'azienda non ritiene il problema una vulnerabilità di sicurezza, ma i tecnici sono già al lavoro per rendere più difficoltoso l'uso di client WhatsApp alterati.

Secondo quanto scrive il New York Times, WhatsApp ha ammesso che i tre metodi descritti da Check Point possono essere realmente applicati, ma ha anche minimizzato l'entità del problema: "Abbiamo analizzato attentamente il problema, ed è come se venisse alterata un'e-mail", ha dichiarato un portavoce della compagnia. E neanche la crittografia end-to-end può venire in soccorso per risolvere la vulnerabilità, visto che verificare ogni singolo messaggio potrebbe essere un compito troppo complesso, creando potenzialmente ulteriori implicazioni nella sicurezza della piattaforma.