Whatsapp: falla permette di modificare i testi delle chat, per far dire cose mai dette

Whatsapp: falla permette di modificare i testi delle chat, per far dire cose mai dette

Il problema è decisamente grave, scoperto da un gruppo di cybersecurity e mostrato al Black Hat di Las Vegas: con un'operazione di reverse engeneering è possibile modificare Whatsapp in modo da prendere il controllo sulle discussioni, facendo dire cose mai dette agli utenti

di pubblicata il , alle 09:02 nel canale Telefonia
WhatsApp
 

Al Black Hat di Las Vegas è stato dimostrato che è possibile manipolare le chat di Whatsapp, sebbene con un processo non certo alla portata di tutti e sfruttando vulnerabilità della versione Whatsapp Web. Il gruppo di cybersecurity Check Point Software Technologies,  durante il processo di reverse engeneering, si è imbattuto in vulnerabilità che potrebbero consentire a malintenzionati di intercettare e manipolare i messaggi inviati in conversazioni sia private che di gruppo, dando agli aggressori un immenso potere di creare e diffondere disinformazione da quelle che sembrano essere fonti attendibili. E lo ha dimostrato con un test (qui le slide della presentazione).

Il team ha osservato tre possibili metodi di attacco sfruttando questa vulnerabilità, ognuna delle quali vede coinvolta una buona dose di ingegneria sociale per ingannare gli utenti finali. Un malintenzionato può:

1. Inviare un messaggio privato a un altro partecipante al gruppo mascherato da messaggio pubblico per tutti, quindi quando la persona interessata risponde, è visibile a tutti nella conversazione.

2. Utilizzare la funzione "quote" (citazione, ovvero quella che si fa scorrendo verso destra un messaggio ricevuto o inviato) in una conversazione di gruppo per modificare l'identità del mittente, anche se quella persona non è un membro del gruppo.

3. Il peggiore di tutti: modificare il testo della risposta di qualcun altro, essenzialmente mettendo  parole mai dette in bocca alla gente.

Il problema è potenzialmente molto grave, considerando che ci sono un miliardo e mezzo di utenti nel mondo e 65 miliardi di messaggi inviati ogni giorno. Non solo: il team ha sottolineato come una vulnerabilità di questo tipo possa causare enormi danni in fatto di disinformazione (poiché ci si fida dello strumento e anche delle persone che conosciamo e abbiamo in lista) e problemi anche legati alla sfera personale. Recentemente sono successi fatti gravissimi (sono morte anche delle persone), causati proprio da rumor che giravano in Whatsapp.

Cosa potrebbe succedere in fatto di fake news, vendette personali e qualsiasi cosa possibile nel momento in cui si possano modificare mittenti e messaggi, qualora la vulnerabilità non venga risolta in fretta? Il messaggio, a prescindere dal mezzo utilizzato, crediamo sia arrivato forte e chiaro a Mark Zuckerberg.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200608 Agosto 2019, 09:36 #1
ci si fida dello strumento e anche delle persone che conosciamo e abbiamo in lista


Ma anche no...

A meno che non si viva con fette di salame molto spesso davanti agli occhi, si sa che WhatsApp è sicuro quanto una porta aperta col la scritta "entrata libera". Ed i contatti? Potenzialmente chiunque... Clienti, perfetti sconosciuti...

WhatsApp ha utenti solo perché è diventato virale. Di certo non per le sue caratteristiche.

Mille volte meglio l'email. Specie per il business.

Scoperchiando poi i problemi di educazione (chi ti scrive a qualsiasi ora del giorno e della notte e si aspetta pure una risposta immediata) ai gruppi. Peggio delle urla in un mercato.
stemare08 Agosto 2019, 09:59 #2
In compenso l'unica funzionalità veramente utile (modificare i propri messaggi entro un certo limite di tempo) non è ancora disponibile
sintopatataelettronica08 Agosto 2019, 10:00 #3
e intanto sembra che la cosa più importante e l'unica che ancora gli manca per essere l'applicazione perfetta è la "dark mode"

(che, tra l'altro, dopo anni, non son ancora riusciti a implementare.. manco quella... )
Gabryy.08 Agosto 2019, 10:26 #4
Telegram già anni fa era migliore dell'attuale whatsapp
WOPR@Norad08 Agosto 2019, 11:22 #5
Originariamente inviato da: stemare
In compenso l'unica funzionalità veramente utile (modificare i propri messaggi entro un certo limite di tempo) non è ancora disponibile


Questa è utile se viene mantenuta la cronologia delle modifiche. Io so che ci sono anche delle forze dell'ordine che usano questa piattaforma per comunicazioni interne, principalmente con le telefonate, fidandosi della crittografia end to end. Non è possibile garantire standard di sicurezza elevati se non viene usato software a sorgente aperto.
pabloski08 Agosto 2019, 11:26 #6
Originariamente inviato da: Gabryy.
Telegram già anni fa era migliore dell'attuale whatsapp


Eh per forza! Telegram mica è scritto dalla CIA.

Cioè riflettiamo sulla news. Whatsapp dice che le chat sono cifrate end-to-end. Ergo come diavolo fa un terzo a modificarle? Vuol dire che non sono cifrate manco per il cavolo.

E questo la dice lunga su chi è veramente Whatsapp e qual è il suo vero scopo.

Il tipo di falla, poi, sembra fatto apposta per aiutare inquirenti poco onesti ad incastrare l'obiettivo voluto. E' la riedizione hi-tech della cara vecchia bustina di coca infilata nella tasca dell'obiettivo, a sua insaputa.
stemare08 Agosto 2019, 11:39 #7
Originariamente inviato da: WOPR@Norad
Questa è utile se viene mantenuta la cronologia delle modifiche. Io so che ci sono anche delle forze dell'ordine che usano questa piattaforma per comunicazioni interne, principalmente con le telefonate, fidandosi della crittografia end to end. Non è possibile garantire standard di sicurezza elevati se non viene usato software a sorgente aperto.

Sì sì, lo davo per scontato, il messaggio deve mantenere lo storico di tutte le modifiche
biometallo08 Agosto 2019, 12:39 #8
Originariamente inviato da: Gabryy.
Telegram già anni fa era migliore dell'attuale whatsapp

Temevo che con il periodo estivo non ci fosse nessuno disposto a spammare telegram ma fortunatamente la regola aulica che vuole che ogniqualvolta appaia il nome di WhatApp nel titolo bisogna assolutamente rimarcare come Telegram sia più migliore assai è stata rispettata anche stavolta, bravo!

Originariamente inviato da: pabloski
Eh per forza! Telegram mica è scritto dalla CIA.

e che nessuno metta in dubbio che KGB non sia meglio di CIA.

Vuol dire che non sono cifrate manco per il cavolo.

Ammettilo non hai neanche letto la notizia, ne tanto meno ti sei sforzato di porgere uno sguardo alla fonte linkata nell'articolo stesso...

https://i.blackhat.com/USA-19/Wedne...on-And-More.pdf
google.onion08 Agosto 2019, 17:37 #9
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/telef...ette_83840.html

Il problema è decisamente grave, scoperto da un gruppo di cybersecurity e mostrato al Black Hat di Las Vegas: con un'operazione di reverse engeneering è possibile modificare Whatsapp in modo da prendere il controllo sulle discussioni, facendo dire cose mai dette agli utenti


WhatsApp ha sempre nuovi problemi di sicurezza, Telegram non ha mai avuto problemi di sicurezza così gravi ne tanto meno Signal o Threema.
google.onion08 Agosto 2019, 17:43 #10
Originariamente inviato da: biometallo

e che nessuno metta in dubbio che KGB non sia meglio di CIA.

https://i.blackhat.com/USA-19/Wedne...on-And-More.pdf


Dubito che Telegram si scritto dal KGB o abbia backdoor russe, visto che TELEGRAM è BLOCCATO IN RUSSIA a differenza di WhatsApp chissà perché .

So che Telegram non è l'app di messaggistica più sicura ma almeno non ha questi bug e la società madre non fa parte di PRISM.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^