WhatsApp, utente cambia numero e si ritrova i messaggi di qualcun altro



[ZEUS News - www.zeusnews.it - 23-02-2023]

wa logo

Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i messaggi di un altro utente è facile. Così facile che può capitare addirittura per caso: basta avere il numero di telefono di quell'utente (in altre parole, è sufficiente essere un end di quell'end-to-end).

The Register e Gizmodo hanno pubblicato il racconto della disavventura capitata a un utente europeo che ha involontariamente avuto accesso a tutti i messaggi privati e dei gruppi WhatsApp di un'altra persona.

L'utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto un account WhatsApp legato al suo numero di telefono cellulare svizzero. A ottobre scorso si è trasferito in Francia per lavoro e si è procurato un numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e mandando messaggi come al solito.

Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell'app di WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi tutti in italiano, e la sua foto di profilo è diventata quella di quella persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui non era la persona con la quale credevano di parlare, ma senza molto successo.

In pratica, senza volerlo Ugo aveva preso il pieno controllo dell'account WhatsApp di un'altra persona a lui sconosciuta.

Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato direttamente via mail, mi ha spiegato che ha usato l'apposita pagina di segnalazione di Meta per avvisare del possibile bug di sicurezza: la risposta di Meta è stata che non è un difetto di WhatsApp, ma è un problema degli operatori telefonici, che riutilizzano i numeri di telefono. 

Fra l‘altro, si tratta di un problema noto e addirittura documentato nelle FAQ di WhatsApp:

Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal momento che riutilizzare i numeri di telefono è una prassi piuttosto comune per gli operatori di telefonia mobile, è possibile che il precedente proprietario del tuo numero di telefono usasse WhatsApp.
Se la persona che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia tu che i tuoi contatti potreste vedere il numero su WhatsApp prima dell'attivazione del tuo nuovo account. Potresti anche vedere che il tuo numero di telefono è associato alla foto del profilo e alla sezione Info di qualcun altro.
Non devi preoccuparti. Questo significa solo che l'account precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di accesso all'account WhatsApp che attiverai con il tuo nuovo numero di telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti.
Monitoriamo l'inattività degli account per evitare eventuali confusioni provocate dal riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45 giorni e quindi viene attivato nuovamente su un dispositivo mobile differente, presumiamo che il numero sia stato riutilizzato. Quando si verificano queste situazioni, eliminiamo i dati del vecchio account collegati al numero di telefono, come ad esempio la foto del profilo e la sezione Info.

In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel numero era tornato disponibile e l'operatore telefonico lo aveva riutilizzato, assegnandolo a Ugo.

Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una falla di privacy considerevole, e il bello è che è nota almeno da tre anni. Se qualcuno ha modo di farsi dare dall'operatore telefonico una SIM che ha il numero della persona presa di mira, può leggerne tutti i messaggi. È una tecnica chiamata SIM swap: i criminali informatici la usano contattando gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei paesi nei quali gli operatori non verificano attentamente l'identità degli utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima e prenderne il controllo.

Nel caso di Ugo non c'è stata alcuna intenzione criminosa, ma la sua vicenda dimostra che la riservatezza dei messaggi online non è robusta come molti pensano.

Per contenere questo problema dei numeri riciclati, normalmente gli operatori hanno un periodo piuttosto lungo di cosiddetta "quarantena", durante il quale il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si accorge che un account non viene usato per un mese e mezzo e poi ricomincia a essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata così, perché l'account della donna non era inattivo. La donna aveva cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo numero, ma senza cambiare il numero nell'app.

Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a credere che l'account sia associato ancora al numero vecchio, come dimostra il padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp come se niente fosse, nonostante lo scambio di SIM nei loro telefoni.

Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea contiene la SIM che prima era nel telefono di Beatrice.

Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al numero vecchio un SMS contenente un codice di sicurezza. Ma in questo caso il vecchio numero di Beatrice ora ce l'ha Andrea, che quindi riceve il codice e ha tutto il necessario per prendere il controllo dell'account WhatsApp di Beatrice.

Va chiarito che questa tecnica non consente accesso ai messaggi passati di WhatsApp: permette di leggere soltanto i messaggi che sono stati inviati al proprietario precedente del numero dopo che il nuovo proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le comunicazioni e le foto di un'altra persona e poterla impersonare online, senza che la persona lo sappia, è parecchio invadente e preoccupante.

Va anche sottolineato che questa situazione offre un canale di sorveglianza molto semplice alle forze di polizia: è sufficiente che chiedano all'operatore telefonico di generare una seconda SIM con lo stesso numero e avranno accesso ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri server, questa tecnica probabilmente consente anche di recuperare tutti i messaggi passati.

Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa con due passi piuttosto semplici. Il primo è attivare l'autenticazione a due fattori su WhatsApp, sotto Impostazioni - Account - Verifica in due passaggi. Il secondo è avvisare WhatsApp se cambiamo numero, andando in Impostazioni - Account - Cambia numero. Andrebbe fatto comunque, perché altrimenti in caso di qualunque problema con il nostro account, WhatsApp non potrà validarci tramite il numero di telefono. Se infine decidete di smettere di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di eliminare l'account andando sempre in Impostazioni - Account - Elimina account.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 6)

In realtà la cosa ritengo sarebbe fattibile - anche se ovviamente meno semplice - se fosse stata prevista un'apposita procedura di dissociazione e nuova associazione in caso di cambio del dispositivo, ovviamente in questo caso l'utente sarebbe costretto a contattare WA in caso di detto cambio per gestire la procedura. Leggi tutto
25-2-2023 15:35

{umby}
zero ha detto: "Se la chiave fosse indissolubilmente legata al dispositivo, non potresti comprarne uno nuovo e trasferire la chat." Allora, non è propriamente end-to-end. La chiave allora è associata "middle" solo al numero di cellulare e basta? Una volta esisteva user e pass... Non userò fin... Leggi tutto
25-2-2023 14:00

Se la chiave fosse indissolubilmente legata al dispositivo, non potresti comprarne uno nuovo e trasferire la chat. Leggi tutto
25-2-2023 12:41

{umby}
Ma se la connessione è criptata end to end, la chiave di decodifica non dovrebbe essere nel dispositivo? Come mai un dispositivo diverso, riesce a decriptare i messaggi?
24-2-2023 19:55

Su Telegram il "secondo fattore" è una password, che viene richiesta quando un nuovo dispositivo viene collegato all'account (cellulare, pc, web,...) L'SMS viene inviato solo la prima volta al primo dispositivo, tutti gli altri devono inserire il codice ricevuto sui dispositivi già collegati (più l'eventuale password dei 2... Leggi tutto
23-2-2023 23:11

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te in quale settore si faranno sentire maggiormente gli effetti positivi dell'Agenda Digitale?
La comunicazione
La scuola
L'accesso alle informazioni e ai contenuti culturali
La modalità di interazione con la Pubblica Amministrazione
Il Servizio Sanitario
La qualità dell'ambiente e dell'aria
La qualità della vita
Il costo della vita
La vivibilità delle grandi metropoli con la creazione di Smart City
La trasparenza
Risparmi per lo Stato e per il cittadino
Riduzione del digital divide
L'Agenda... de che?

Mostra i risultati (1240 voti)
Aprile 2024
TIM, altre ''rimodulazioni'' in arrivo
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
Hype e Banca Sella, disservizi a profusione
Falla nei NAS D-Link, ma la patch non arriverà mai
La navigazione in incognito non è in incognito
Le tre stimmate della posta elettronica
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
Buone azioni e serrature ridicole
Il piano Merlyn, ovvero la liquidazione di Tim
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
L'antenato di ChatGPT in un foglio Excel
La valle inquietante
La crisi di Tim e la divisione sindacale
La fine del mondo, virtuale
WhatsApp e Messenger aprono agli altri servizi di chat
Tutti gli Arretrati
Accadde oggi - 22 aprile


web metrics