La funzione di verifica dei contatti di WhatsApp, progettata per confermare la presenza di un numero di telefono nel database del servizio, ha esposto per anni il sistema a rischi di raccolta dati su larga scala. Una ricerca accademica dell’Università di Vienna, ripresa dalla testata Wired, ha dimostrato la fattibilità di scansionare fino a cento milioni di numeri ogni ora attraverso l’interfaccia web, senza incontrare limitazioni efficaci. L’indagine ha permesso la creazione di un archivio mastodontico contenente 3,5 miliardi di numeri verificati, associati nel 57% dei casi a immagini profilo e nel 29% a note informative, rivelando una falla nella protezione dei dati pubblici degli utenti.
La società madre Meta, attraverso una comunicazione ufficiale, ha riconosciuto la collaborazione con i ricercatori nell’ambito del suo programma Bug Bounty. L’azienda ha tenuto a precisare che i dati raccolti erano esclusivamente di natura pubblica e che la sicurezza dei messaggi privati, protetti dalla crittografia end-to-end, non è stata compromessa. “È importante sottolineare che i ricercatori hanno eliminato in modo sicuro i dati raccolti nell’ambito dello studio e non abbiamo trovato prove di un abuso di questo vettore da parte di malintenzionati”, si legge nella nota. Tuttavia, gli accademici hanno fatto notare una tempistica discutibile: la vulnerabilità è stata segnalata ad aprile, mentre un sistema di rate-limiting efficace è stato implementato solo ad ottobre, lasciando la piattaforma esposta per mesi.
Una vulnerabilità nota da anni
Il caso non rappresenta una novità assoluta nel panorama della sicurezza informatica. Già nel 2017, il ricercatore olandese Loran Kloeze aveva evidenziato l’assenza di limiti al numero di verifiche effettuabili sulla piattaforma, un difetto che permetteva a chiunque di risalire a foto del profilo e orari di ultimo accesso attraverso tentativi ripetuti. All’epoca, l’azienda aveva giustificato il meccanismo come coerente con le impostazioni sulla privacy dell’utente, non ritenendo necessario un riconoscimento specifico per la segnalazione. Lo studio dell’Università di Vienna certifica quindi la persistenza del problema per anni, dimostrando come la metodologia originaria potesse essere replicata su una scala tale da coprire virtualmente l’intera base utenti globale del servizio.
Anomalie nelle chiavi di sicurezza e client non ufficiali
L’approfondimento condotto dal team viennese non si è limitato alla raccolta dei numeri, ma ha analizzato anche le chiavi pubbliche di crittografia associate ai 3,5 miliardi di account individuati. L’analisi ha portato alla luce diverse anomalie significative, tra cui:
- La presenza di chiavi crittografiche identiche condivise tra centinaia di profili differenti.
- Chiavi pubbliche composte interamente da zeri, associate a venti numeri di telefono statunitensi.
Queste irregolarità non derivano da difetti del protocollo di sicurezza ufficiale di WhatsApp, ma dall’utilizzo di client non ufficiali o versioni modificate dell’app che implementano la crittografia in maniera errata. Questo scenario svela l’esistenza di ecosistemi paralleli di applicazioni di terze parti, spesso collegati ad attività di spam o tentativi di frode telematica, che operano al di fuori dei canali ufficiali compromettendo l’integrità del sistema di sicurezza.
Il numero di telefono come limite strutturale
Il lavoro dei ricercatori focalizza l’attenzione su un problema di fondo: la natura stessa del sistema di identificazione. Basare la registrazione esclusivamente sul numero di telefono, un dato non casuale e facilmente verificabile strettamente legato all’identità reale di un individuo, costituisce un limite strutturale per un servizio utilizzato da miliardi di persone. Questo approccio rende le protezioni basate sul rate-limiting utili per mitigare gli abusi, ma non risolutive del problema alla radice. La recente sperimentazione avviata da WhatsApp di un sistema basato su un nome utente, che permetterebbe il contatto senza la condivisione del recapito telefonico, traccia una direzione che risponde proprio alle criticità emerse dallo studio, indicando una possibile evoluzione verso modelli di identificazione più privacy-oriented.
