WhatsApp, i messaggi non sono privati

Una vulnerabilità di WhatsApp permette di accedere al database dei messaggi salvato sulla microSD. La chiave per cifrare il file è sempre la stessa.
WhatsApp, i messaggi non sono privati
Una vulnerabilità di WhatsApp permette di accedere al database dei messaggi salvato sulla microSD. La chiave per cifrare il file è sempre la stessa.

WhatsApp si appresta a festeggiare il traguardo dei 500 milioni di utenti mensili, aggiungendo le chiamate vocali alle app per Android e iOS. Il servizio di messaggistica, però, non è ancora perfetto dal punto di vista della sicurezza. Uno sviluppatore olandese ha infatti scoperto una vulnerabilità che potrebbe essere sfruttata per leggere i messaggi inviati e ricevuti, utilizzando una qualsiasi applicazione Android.

Il consulente tecnico Bas Bosschert ha descritto il funzionamento del proof-of-concept sul suo blog personale. Per sottrarre i dati riservati agli utenti di WhatsApp è sufficiente scrivere poche righe di codice in PHP e Java, sfruttando i permessi concessi alle app Android (che molti nemmeno leggono prima dell’installazione). Il database del servizio di messaggistica viene conservato sulla card microSD dello smartphone, non sui server dell’azienda, acquisita recentemente da Facebook per 19 miliardi di dollari. Questo per non perdere i messaggi nel caso in cui l’app venga reinstallata o si cambi dispositivo.

WhatsApp salva tutti i messaggi nei file msgstore.db, wa.db e msgstore.db.crypt. Le versioni più recenti dell’app per Android usano la crittografia per impedire la lettura dei messaggi contenuti nel file msgstore.db.crypt, quindi l’utente non dovrebbe correre nessun rischio. In realtà, la chiave per cifrare il database è sempre la stessa, per tutti. Un semplice script può decifrare il file e mostrare il database SQLite3 in chiaro. Per gli altri due file, invece, non è nemmeno necessario questo passo, per cui la lettura è immediata.

Se viene attivata l’opzione che permette di installare app da fonti sconosciute, è abbastanza semplice ingannare l’utente mediante una app fraudolenta, alla quale viene concesso (magari inavvertitamente) il permesso di accesso alla card microSD. L’utente non si accorgerà che il suo database dei messaggi verrà inviato ad un server remoto. È dunque consigliabile installare sempre la versione più aggiornata di WhatsApp e scaricare le app unicamente dal Google Play Store. L’alternativa è usare altre app simili, ma più sicure, come Telegram.

Ti consigliamo anche

Link copiato negli appunti