WhatsApp, utente cambia numero e si ritrova i messaggi di qualcun altro



[ZEUS News - www.zeusnews.it - 23-02-2023]

wa logo

Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i messaggi di un altro utente è facile. Così facile che può capitare addirittura per caso: basta avere il numero di telefono di quell'utente (in altre parole, è sufficiente essere un end di quell'end-to-end).

The Register e Gizmodo hanno pubblicato il racconto della disavventura capitata a un utente europeo che ha involontariamente avuto accesso a tutti i messaggi privati e dei gruppi WhatsApp di un'altra persona.

L'utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto un account WhatsApp legato al suo numero di telefono cellulare svizzero. A ottobre scorso si è trasferito in Francia per lavoro e si è procurato un numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e mandando messaggi come al solito.

Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell'app di WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi tutti in italiano, e la sua foto di profilo è diventata quella di quella persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui non era la persona con la quale credevano di parlare, ma senza molto successo.

Consigliamo la lettura di:
UE: Netflix, YouTube e Facebook paghino per le reti di nuova generazione
WhatsApp dal nuovo anno non funzionerà più su 47 smartphone
Da Meta il censore automatico open source per contrastare il terrorismo
WhatsApp: debuttano gruppi più grandi, sondaggi e Community

In pratica, senza volerlo Ugo aveva preso il pieno controllo dell'account WhatsApp di un'altra persona a lui sconosciuta.

Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato direttamente via mail, mi ha spiegato che ha usato l'apposita pagina di segnalazione di Meta per avvisare del possibile bug di sicurezza: la risposta di Meta è stata che non è un difetto di WhatsApp, ma è un problema degli operatori telefonici, che riutilizzano i numeri di telefono. 

Articoli raccomandati:
UE, in vigore la legge che obbliga l'apertura alle app di terze parti
Il metaverso non paga: precipita il valore di Meta
Aggiornate subito WhatsApp per chiudere due falle critiche
WhatsApp, arriva il blocco degli screenshot

Fra l‘altro, si tratta di un problema noto e addirittura documentato nelle FAQ di WhatsApp:

Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal momento che riutilizzare i numeri di telefono è una prassi piuttosto comune per gli operatori di telefonia mobile, è possibile che il precedente proprietario del tuo numero di telefono usasse WhatsApp.
Se la persona che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia tu che i tuoi contatti potreste vedere il numero su WhatsApp prima dell'attivazione del tuo nuovo account. Potresti anche vedere che il tuo numero di telefono è associato alla foto del profilo e alla sezione Info di qualcun altro.
Non devi preoccuparti. Questo significa solo che l'account precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di accesso all'account WhatsApp che attiverai con il tuo nuovo numero di telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti.
Monitoriamo l'inattività degli account per evitare eventuali confusioni provocate dal riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45 giorni e quindi viene attivato nuovamente su un dispositivo mobile differente, presumiamo che il numero sia stato riutilizzato. Quando si verificano queste situazioni, eliminiamo i dati del vecchio account collegati al numero di telefono, come ad esempio la foto del profilo e la sezione Info.

In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel numero era tornato disponibile e l'operatore telefonico lo aveva riutilizzato, assegnandolo a Ugo.

Spunti di approfondimento:
UE, stretta sui giganti della tecnologia con DSA e DMA
Google rivela uno spyware governativo che fa vittime anche in Italia
UE, tutte le chat saranno esaminate in cerca di pedopornografia
Telegram, in arrivo una versione Premium a pagamento

Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una falla di privacy considerevole, e il bello è che è nota almeno da tre anni. Se qualcuno ha modo di farsi dare dall'operatore telefonico una SIM che ha il numero della persona presa di mira, può leggerne tutti i messaggi. È una tecnica chiamata SIM swap: i criminali informatici la usano contattando gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei paesi nei quali gli operatori non verificano attentamente l'identità degli utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima e prenderne il controllo.

Nel caso di Ugo non c'è stata alcuna intenzione criminosa, ma la sua vicenda dimostra che la riservatezza dei messaggi online non è robusta come molti pensano.

Per contenere questo problema dei numeri riciclati, normalmente gli operatori hanno un periodo piuttosto lungo di cosiddetta "quarantena", durante il quale il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si accorge che un account non viene usato per un mese e mezzo e poi ricomincia a essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata così, perché l'account della donna non era inattivo. La donna aveva cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo numero, ma senza cambiare il numero nell'app.

Spunti di approfondimento:
UE, una legge per obbligare Google e Meta a rivelare i loro algoritmi
Che si fa con Telegram? È russo
La UE obbligherà WhatsApp, Facebook e Apple a cooperare nella messaggistica
Attenzione alle false proposte di aiutare l’Ucraina. Anche a quelle sexy

Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a credere che l'account sia associato ancora al numero vecchio, come dimostra il padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp come se niente fosse, nonostante lo scambio di SIM nei loro telefoni.

Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea contiene la SIM che prima era nel telefono di Beatrice.

Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al numero vecchio un SMS contenente un codice di sicurezza. Ma in questo caso il vecchio numero di Beatrice ora ce l'ha Andrea, che quindi riceve il codice e ha tutto il necessario per prendere il controllo dell'account WhatsApp di Beatrice.

Articoli raccomandati:
Nokia svela tre smartphone entry-level per tutte le tasche
Privacy, Facebook minaccia di lasciare l'Europa
Il malware che svuota il conto in banca e resetta lo smartphone
WhatsApp, messaggi a scadenza in tutte le nuove chat

Va chiarito che questa tecnica non consente accesso ai messaggi passati di WhatsApp: permette di leggere soltanto i messaggi che sono stati inviati al proprietario precedente del numero dopo che il nuovo proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le comunicazioni e le foto di un'altra persona e poterla impersonare online, senza che la persona lo sappia, è parecchio invadente e preoccupante.

Va anche sottolineato che questa situazione offre un canale di sorveglianza molto semplice alle forze di polizia: è sufficiente che chiedano all'operatore telefonico di generare una seconda SIM con lo stesso numero e avranno accesso ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri server, questa tecnica probabilmente consente anche di recuperare tutti i messaggi passati.

Articoli suggeriti:
Come uscire dai social network e salvare i propri dati
I disservizi di Facebook costano a Mark Zuckerberg 6 miliardi
Allora, i messaggi di WhatsApp sono cifrati e privati o no?
WhatsApp, i messaggi crittografati non sono poi così privati

Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa con due passi piuttosto semplici. Il primo è attivare l'autenticazione a due fattori su WhatsApp, sotto Impostazioni - Account - Verifica in due passaggi. Il secondo è avvisare WhatsApp se cambiamo numero, andando in Impostazioni - Account - Cambia numero. Andrebbe fatto comunque, perché altrimenti in caso di qualunque problema con il nostro account, WhatsApp non potrà validarci tramite il numero di telefono. Se infine decidete di smettere di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di eliminare l'account andando sempre in Impostazioni - Account - Elimina account.

Sullo stesso tema:
WhatsApp e le foto che si “cancellano” da sole
Facebook ha occultato il rapporto che la metteva in cattiva luce
WhatsApp, debuttano i messaggi che svaniscono
WhatsApp cede: non cancellerà gli account degli utenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 6)


Gladiator
In realtà la cosa ritengo sarebbe fattibile - anche se ovviamente meno semplice - se fosse stata prevista un'apposita procedura di dissociazione e nuova associazione in caso di cambio del dispositivo, ovviamente in questo caso l'utente sarebbe costretto a contattare WA in caso di detto cambio per gestire la procedura. Leggi tutto
25-2-2023 15:35
{umby}
zero ha detto: "Se la chiave fosse indissolubilmente legata al dispositivo, non potresti comprarne uno nuovo e trasferire la chat." Allora, non è propriamente end-to-end. La chiave allora è associata "middle" solo al numero di cellulare e basta? Una volta esisteva user e pass... Non userò fin... Leggi tutto
25-2-2023 14:00
zero
Se la chiave fosse indissolubilmente legata al dispositivo, non potresti comprarne uno nuovo e trasferire la chat. Leggi tutto
25-2-2023 12:41
{umby}
Ma se la connessione è criptata end to end, la chiave di decodifica non dovrebbe essere nel dispositivo? Come mai un dispositivo diverso, riesce a decriptare i messaggi?
24-2-2023 19:55
nicorac
Su Telegram il "secondo fattore" è una password, che viene richiesta quando un nuovo dispositivo viene collegato all'account (cellulare, pc, web,...) L'SMS viene inviato solo la prima volta al primo dispositivo, tutti gli altri devono inserire il codice ricevuto sui dispositivi già collegati (più l'eventuale password dei 2... Leggi tutto
23-2-2023 23:11
Leggi gli altri 1 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Con quale delle seguenti affermazioni, tutte relative a siti che vendono coupon e buoni sconto online, concordi di più? (Se vuoi dare risposte multiple utilizza i commenti)
Sono un cliente abituale dei siti di coupon e in generale posso dichiararmi soddisfatto delle promozioni attivate tramite questo mezzo innovativo.
Apprezzo i coupon soprattutto per provare quelle strutture dove non sono mai stato, o servizi che non ho mai utilizzato prima.
Acquisto talvolta i coupon ma purtroppo molte volte non riesco a utilizzarli prima della loro scadenza, pertanto penso di diminuire questa attività o di continuare a farlo saltuariamente.
Acquisto i coupon soprattutto per usufruire dello sconto e raramente acquisto nuovamente un servizio o torno in una struttura a "prezzo pieno".
Solitamente acquisto un coupon soltanto se conosco già la struttura o il servizio offerto, non voglio fregature.
Mi è capitato spesso di prendere delle fregature o di non essere servito alla stregua degli altri clienti, pertanto penso che non acquisterò più coupon.
Non ho mai acquistato un coupon.

Mostra i risultati (1788 voti)
Aprile 2024
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
n. 3788 del 08-03-2024
WhatsApp e Messenger aprono agli altri servizi di chat
n. 3787 del 06-03-2024
Permainformatica
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 20 aprile
2023
EmuOS, giochi e app retro rivivono all'interno del browser
2022
Seria falla in 7-Zip, la patch ancora non c'è
2021
Aggiornamento Windows 10, problemi di tutti i tipi
2020
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
2019
Falla in Internet Explorer, la micropatch non è di Microsoft
2018
Galaxy J2 Pro, lo smartphone di Samsung senza connessione a Internet
2017
Se la tua fotocopiatrice ti manda una mail, non aprirla con un vecchio Word
2016
Diciassettenne violentata in diretta streaming su Periscope
2015
Come accedere ai profili cancellati da Facebook
2014
La moda di ribaltare le Smart
2013
Le microbatterie che si ricaricano in pochi secondi
2012
Digitale terrestre, dal 2015 servirà un nuovo decoder
2011
Samsung risponde a Apple e nega le accuse
2010
Ubiquitous computing, l'informatica che si ispira alla biologia
2008
PayPal sconsiglia Safari: è insicuro
2007
Addio al modulo per i contatti, meglio Skype
2005
Un forum sulla banda larga in Italia
2004
Tronchetti Provera e gli stipendi d'oro
2002
Wind e Telecom Italia: le due strategie
2001
A scuola di Internet dagli hacker
Olimpo Informatico


 
web metrics