WhatsApp, una falla permette di far sospendere un account

WhatsApp ha una falla che permette a chiunque sia in grado di sfruttarla, di sospendere “dall’esterno” l’account di qualsiasi utente che utilizza l’app di messaggistica. Per farlo, infatti, basta conoscere il numero di telefono del malcapitato. E per difendersi non basta nemmeno l’autenticazione a due fattori. A segnalare questo pericolo sono stati i ricercatori dell’ESET, la storica azienda di informatica produttrice tra l’altro dell’antivirus NOD32.

La falla di WhatsApp che permette di far sospendere un account

Sulla vicenda WhatsApp ha voluto rassicurare subito i suoi utenti, spiegando che il rischio che qualcuno sfrutti fino in fondo questo tipo di vulnerabilità è estremamente basso, ma di certo non è comunque un tipo di possibile attività da sottovalutare. Ad ogni modo, ecco di seguito come viene operato inizialmente l’attacco:

• L’hacker scarica l’app di WhatsApp;
• Mentre configura l’applicazione, quando gli viene richiesto il numero di cellulare, inserisce quello dell’account che vuole bloccare;
• A quel punto WhatsApp invia un codice di verifica al numero di telefono indicato, che verrà letto dalla vittima;
• L’attacco mira a questo punto sul fatto che il legittimo proprietario ignori le notifiche sul suo smartphone;
• In questo modo l’hacker avrà modo di continurare a inserire dei codici errati così che WhatsApp non possa accettarli e ne rimandi di nuovi;
• Dopo un certo numero di tentativi andati a vuoto, il sistema bloccherà per dodici ore la possibilità di chiedere e ricevere nuovi codici.

A questo punto, il malintenzionato passa alla seconda fase dell’attacco: crea un indirizzo e-mail dal quale invia al servizio di supporto di WhatsApp una segnalazione che il “suo” smartphone (ovviamente il numero di telefono indicato è quello della vittima) è stato perso o rubato, chiedendo pertanto di sospendere l’account WhatsApp associato.

A quel punto, visto che il blocco viene generalmente disposto con una procedura automatizzata, il più è fatto. E anche se la vittima riceve sul suo cellulare una notifica che lo invita a richiedere un codice di verifica per tornare ad associare il numero all’app, il blocco di dodici ore gli impedirà di ottenerlo. ESET ha spiegato che, se è vero che basterebbe attendere dodici ore per potersi riappropriare del proprio account, è anche vero che un hacker che opera in maniera costante contro un numero, e dunque che ripete più volte lo schema, alla fine riuscirà a ottenere il blocco dell’account permanente.