Whatsapp, nuovo allarme privacy

L'informatico olandese, Bas Bosschert: "La colpa è delle disattenzioni di chi amministra l'app"

La privacy su WhatsApp, l'app di instant messaging più in voga, può essere facilmente violata. L'allarme questa volta è lanciato dall'informatico olandese, Bas Bosschert, che afferma: "Alla base di possibili intrusioni esterne ci sono delle disattenzioni di WhatsApp". Le accuse sono state giudicate "esagerate" da Facebook, che, dopo il mega-acquisto del servizio di chat, è stata oggetto di forti polemiche per la vulnerabile sicurezza della privacy degli utenti. Bosschert lo ha dimostrato sul suo blog (consultabile a questo link) con un gioco. Per l'hacker "etico" ecco le conversazioni su una chat possono essere "rubate" perché in primo luogo deriva dalla scelta degli sviluppatori della chat salvare la cronologia dei messaggi sullo spazio di archiviazione del telefono, rendendola così reperibile, e perché in secondo luogo, la gestione dei permessi all'interno del sistema operativo Android, permessi che spesso vengo chiesti all'utente che scarica un'app per accedere, ad esempio, ai contatti o alle foto, in questo caso di accedere allo spazio di archiviazione, sono considerati con leggerezza dagli utenti. Per confortare la sua tesi, Bosschert, ha costruito un giochino che dimostra come la cronologia della chat viene scaricata e ha postato l'esperimento sul suo blog. "Questi report non hanno dipinto accuratamente il quadro e sono esagerati": cosi' un portavoce di WhatsApp ha risposto alle accuse di Bosschert, specificando che l'app di messaggistica sul Google Play, lo store per i dispositivi con sistema operativo Android, "è stata aggiornata per proteggere ulteriormente gli utenti dalle applicazioni malevole". Inoltre, per Bosschert, l'altra vulnerabilità sarebbe nel meccanismo usato da WhatsApp per proteggere crittograficamente il database dei messaggi, quindi renderli non leggibili, che consiste nell'usare la stessa chiave per tutti gli utenti. Un malintenzionato potrebbe dunque individuare la chiave e accedere al database salvato in locale, ripetendo poi lo stesso processo per tutti gli utenti del servizio. Detto in parole povere, installando una qualsiasi app sul proprio cellulare questa potrebbe chiedere il permesso di leggere l'intera cronologia dei messaggi. E l'utente potrebbe dare l'assenso alla leggera, senza avere alcuna notifica di quello che sta facendo.