Vulnerabilita non risolte (non gravi) in WhatsApp

È ancora possibile “modificare” il mittente di un messaggio inviato ad un gruppo o modificare il testo di un messaggio di un altro in una conversazione a due. Ma è poi così grave?

Sebbene non si tratti di vulnerabilità gravi, come quelle che permettono, ad esempio, di “far fare al telefono qualcos’altro,” un uso creativo di queste vulnerabilità (che Facebook ha deciso di non risolvere) può senz’altro creare un po’ di scompiglio.

Esempio

Il vostro capo vi invia un messaggio per dirvi che vi daranno un aumento di 1500EUR. Voi rispondete (usando la funzione “rispondi”) per ringraziare, ma nel mentre riuscite a modificare il testo del suo messaggio originale. Quasi! Non proprio del suo messaggio originale, ma del suo messaggio “quotato” nella vostra risposta. Certo, sicuramente chi abbocca e si fida di uno screenshot può tranquillamente cascarci, ma ad un’attenta occhiata si nota l’inganno.

Altro esempio

Ad un certo punto in un gruppo arriva un messaggio scritto da tale Mario, che non appartiene al gruppo. In realtà il messaggio è stato scritto da un membro del gruppo e l’aggressore (appartenente al gruppo) ha sfruttato lo stesso giochetto di cui sopra, questa volta per modificare il mittente.

Perché non sono poi così gravi?

Perché non sono sfruttabili “da remoto”, ovvero è necessario, almeno, che chi vuole effettuare un attacco sia membro di un gruppo (vero, nei gruppi numerosi è difficile tener traccia). Oppure, anche peggio, si richiede che voi stiate chattando con l’aggressore.

La comunicazione in WhatsApp è crittografata, cifrata, “end to end,” ovvero da un capo all’altro. Nemmeno WhatsApp (ehm, Facebook) ha le chiavi per decifrarle. Però, una volta che un messaggio arriva dall’altra parte (ossia a tutti i membri di un gruppo) sarà decifrato dall’app, che ovviamente conserverà sul dispositivo una copia dei messaggi. Quindi, quando voi selezionate un messaggio per rispondervi, state di fatto prendendo il testo (già decifrato) del messaggio originale e, sulla base di quello, ne state creando uno nuovo.

Perché Facebook non le risolve?

Perché, personalissima opinione, non ne vale la pena. Si può senz’altro creare qualche scompiglio o scatenare dei pettegolezzi stratosferici a botte di screenshot, per non parlare delle catene di Sant’Antonio (che sicuramente contribuiscono alla diffusione di bufale e simili), ma in caso di reato, l’evidenza presente sui dispositivi sarà sufficiente per ricostruire il vero scambio di messaggi.

Queste vulnerabilità sono state riportate da CheckPoint a Facebook nel 2018 e sono state presentate al pubblico di Black Hat questa settimana.