WhatsApp, l’applicazione di messaggistica più utilizzata al mondo, e Viber, l’applicazione per chiamare e inviare messaggi sempre tramite internet, mettono a rischio la privacy di milioni di utilizzatori. A rivelarlo è una vulnerabilità scoperta da due ricercatori indipendenti italiani, Federico Ziberna e Claudio Cavalera, che hanno scoperto e descritto la possibilità di utilizzare le immagini del profilo degli utenti per attaccarli.
Ziberna ha sviluppato un sistema che gli ha consentito di scaricare liberamente una quantità illimitata di immagini del profilo collegati ad altrettanti account di utenti dei famosi sistemi di Instant Messaging. Utilizzando come chiave di ricerca l’immagine del profilo dell’utente, ed altri dati estrapolabili automaticamente dall’immagine con algoritmi di riconoscimento facciale, quali etnia, età, sesso e molti altri ancora, è stato possibile confrontarla con altre immagini reperibili liberamente in rete o su altri account.
Una procedura che consente, dunque, di collegare potenzialmente il numero di telefono di uno sconosciuto qualunque ad una persona reale, grazie alla sua immagine del profilo. Fra i diversi tipi di hack c’è quello denominato da Ziberna voodoo doll exploit e che permette all’attaccante di fare una foto qualunque ad una persona e, attraverso un tool, di verificare se la foto è paragonabile ad una di quelle in possesso e quindi risalire al numero telefonico solo grazie ad una fotografia. Una situazione assurda visto che non c’è modo di mettersi al sicuro se non quello di non impostare un’immagine per il proprio account.
Ecco quanto dichiarato dai due ricercatori: “immaginate questo scenario: possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? Ecco, solo che nowiseeyou ha il vantaggio che su ogni foto del suo schedario c’è appiccicato il numero di telefono del criminale”.