Considerando la mole di persone che utilizzano Whatsapp si dovrebbe sperare che Facebook faccia di tutto per mantenerci al sicuro. Dovrebbe essere così eppure ogni due per tre si scoprono nuovi sistemi che ci minacciano. A questo giro il punto debole va a colpire inizialmente i gruppi per poi espandersi a tutto.
Il problema partirebbe da chi controlla i server di Whatsapp. Questi individui possono deliberatamente inserire nuovi membri ad un gruppo anche senza il permesso dell’amministratore. Già in questo punto viene sfruttato un Bug in quanto solo l’amministratore, o gli amministratori, possono invitare nuove persone. La piattaforma non utilizza alcun meccanismo di autenticazione per un invito che i suoi server non possono falsificare.
Nei casi registrati, l’utente malintenzionato una volta riuscito ad entrare riceveva automaticamente le chiavi di lettura segrete di ogni membro. Questo gli consentiva l’accesso completo a qualsiasi messaggio futuro degli utenti, ma non a quelli vecchi.
Nel momento in cui il nuovo membro entra a far parte del gruppo, chi ha il controllo del server di Whastapp
può fare in modo di bloccare i messaggi del gruppo così da evitare che i membri chiedano del nuovo arrivato. Certo è vero che possono tranquillamente scriversi con le chat private, ma rimane comunque una falla nel sistema di Whatsapp. Se prendiamo come esempio magari un gruppo che ha decine e decine di membri se l’amministratore non si accorge dell’entrata di uno nuovo questo ha sostanzialmente il via libera visto che gli altri magari sono abituati a vedere nuovi membri sconosciuti.Il problema è saltato fuori a luglio dell’anno scorso, ma a quanto pare non è ancora stato fatto nulla. L’idea è quella di aggiungere un meccanismo di autenticazione per i nuovi inviti nel gruppo che utilizza una chiave segreta, ma ancora non è stato fatto.
Sempre a gennaio dell’anno scorso era sorto un altro problema di sicurezza relativo alla forzatura della generazione di nuove chiavi crittografiche. Tutto questo ha riacceso il dibattito sulla scarsa sicurezza fornita da Whatsapp.