Crediti: Canva
Una falla nel sistema di “discovery” dei contatti di WhatsApp ha permesso a un team di ricercatori di raccogliere dati su scala globale.
Sebbene Meta abbia corretto il problema, l’incidente solleva dubbi strutturali sull’uso del numero di telefono come identificativo unico.
La semplicità è sempre stata l’arma vincente di WhatsApp: basta salvare un numero di telefono in rubrica e l’applicazione ti dice immediatamente se quella persona è iscritta al servizio, mostrandoti spesso la sua foto profilo e il suo nome. Tuttavia, ripetendo questa operazione miliardi di volte in modo automatizzato, quella che appare come una comoda funzionalità si trasforma in un vettore di sorveglianza di massa.
Un gruppo di ricercatori dell’Università di Vienna ha dimostrato come questo meccanismo abbia permesso l’esposizione dei dati personali di una porzione significativa della popolazione mondiale. Attraverso un metodo di enumerazione dei contatti, il team è riuscito a estrarre e catalogare ben 3,5 miliardi di numeri di telefono di utenti WhatsApp.
Secondo lo studio, per circa il 57% di questi profili è stato possibile recuperare l’immagine pubblica, e per il 29% le informazioni testuali (la sezione “Info” o “About”).
I ricercatori sono riusciti a interrogare i server di WhatsApp a una velocità impressionante, controllando circa cento milioni di numeri all’ora senza incontrare resistenze significative da parte dei sistemi di sicurezza di Meta.
Aljosha Judmayer, uno dei ricercatori coinvolti, non usa mezzi termini: “Per quanto ne sappiamo, questa segna la più vasta esposizione di numeri di telefono e dati utente correlati mai documentata“. Nel documento che accompagna la ricerca, il team definisce l’accaduto come quello che sarebbe stato “il più grande data leak della storia, se non fosse stato raccolto come parte di uno studio di ricerca condotto responsabilmente“.
I ricercatori hanno avvisato Meta della vulnerabilità nell’aprile scorso, cancellando successivamente il database di 3,5 miliardi di numeri. Entro ottobre, l’azienda ha implementato misure di “rate-limiting” più severe, bloccando di fatto il metodo utilizzato dallo studio.
Tuttavia, Max Günther, co-autore della ricerca, sottolinea un punto critico: fino a quel momento, la tecnica era sfruttabile da chiunque. “Se è stato così facile per noi recuperare questi dati, altri avrebbero potuto fare lo stesso“, avverte.
In una dichiarazione rilasciata a Wired, Meta ha ringraziato i ricercatori, che hanno segnalato il problema tramite il programma “bug bounty”, ma ha minimizzato la natura dei dati esposti, definendoli “informazioni di base disponibili pubblicamente“. Nitin Gupta, vicepresidente dell’ingegneria di WhatsApp, ha affermato: “Non abbiamo trovato prove di attori malintenzionati che abbiano abusato di questo vettore. I messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end“.
Nonostante le rassicurazioni di Meta, questa non è la prima volta che il problema viene sollevato. Già nel 2017, il ricercatore olandese Loran Kloeze aveva avvertito che la tecnica di enumerazione dei numeri poteva essere utilizzata per creare database giganti di informazioni identificabili. All’epoca, Meta (allora Facebook) rispose che le impostazioni di privacy funzionavano come previsto e che Kloeze non aveva diritto a una ricompensa.
Otto anni dopo, i ricercatori austriaci hanno dimostrato che le difese contro lo scraping erano ancora insufficienti. Hanno inoltre analizzato le abitudini di privacy per nazione:
L’esposizione non riguarda solo il rischio di spam o truffe. I ricercatori hanno individuato milioni di account in paesi dove WhatsApp è ufficialmente bandito o limitato, come la Cina (2,3 milioni di numeri) e il Myanmar (1,6 milioni). In questi contesti, un database simile potrebbe essere utilizzato da regimi autoritari per identificare e perseguire gli utenti che utilizzano l’app illegalmente.
Un dettaglio tecnico curioso emerso dallo studio riguarda le chiavi crittografiche. Sebbene la crittografia di WhatsApp sia solida, i ricercatori hanno trovato numerosi account che condividevano le stesse chiavi pubbliche o utilizzavano chiavi composte da soli zeri. Questo fenomeno, secondo il team, è probabilmente dovuto all’uso di client WhatsApp non ufficiali o non autorizzati, spesso utilizzati da spammer o truffatori, che implementano la crittografia in modo errato.
La conclusione dello studio punta il dito contro un difetto strutturale dell’ecosistema digitale odierno: i numeri di telefono non possiedono sufficiente “casualità” (randomness) per essere usati come identificativi segreti sicuri. Essendo sequenziali e prevedibili, sono facili da indovinare.
“I numeri di telefono non sono stati progettati per essere usati come identificatori segreti per gli account, ma è così che vengono usati nella pratica“, conclude Judmayer. Finché WhatsApp darà priorità alla facilità di scoperta dei contatti rispetto alla privacy (anche se l’introduzione futura degli username potrebbe cambiare le cose), il “rate-limiting” rimarrà l’unica, fragile barriera contro la sorveglianza di massa.
Il mercato dei tablet ha vissuto anni di stasi, con dispositivi spesso relegati al ruolo…
Ultimo aggiornamento: 2 marzo – Come ogni interfaccia proprietaria che si rispetti, anche HyperOS (e…
La tecnologia delle batterie sta facendo passi da gigante: i produttori cinesi hanno spinto sull'acceleratore,…
Il MWC di Barcellona ha segnato anche il debutto dei nuovi flagship del produttore cinese:…
Ultimo aggiornamento: 2 marzo – Con l'evoluzione costante della tecnologia e la crescente preoccupazione per…
Ultimo aggiornamento: 2 marzo – Avete uno smartphone o un tablet Xiaomi, Redmi o POCO…