WhatsApp, un bug espone 3,5 miliardi di numeri telefonici. Il problema era noto dal 2017
[ZEUS News - www.zeusnews.it - 19-11-2025]
Un gruppo di ricercatori dell'Università di Vienna e di SBA Research ha pubblicato i risultati di uno studio condotto tra dicembre 2024 e aprile 2025, col quale hanno dimostrato come sia stato possibile enumerare oltre 3,5 miliardi di account WhatsApp attivi in tutto il mondo. La tecnica utilizzata sfrutta un meccanismo presente in WhatsApp stesso: la funzionalità di contact discovery dell'applicazione permette di verificare rapidamente se un numero di telefono sia associato a un account WhatsApp e, in molti casi, di ottenere metadati pubblici come foto profilo, nome visualizzato e testo dello stato.
Uno script invia richieste sequenziali al server WhatsApp per controllare l'esistenza di account associati a numeri generati sistematicamente, partendo dai prefissi nazionali validi. Grazie all'assenza di limiti significativi sul numero di query i ricercatori sono riusciti a interrogare oltre 100 milioni di numeri all'ora utilizzando la versione web dell'app. In questo modo hanno confermato l'esistenza di 3,5 miliardi di account in 245 paesi, inclusi territori dove WhatsApp è ufficialmente bloccato come Cina, Iran e Corea del Nord.
Per il 57% di questi account è stata recuperata la foto profilo, mentre per il 29% anche il testo dello status. I ricercatori hanno inoltre estratto le chiavi pubbliche di crittografia per tutti i profili, utili per analisi ulteriori ma non per decifrare i messaggi, che rimangono protetti dalla crittografia end-to-end.
A rendere ancora più interessante la questione c'è il fatto che la vulnerabilità - se così si può chiamare - era stata segnalata per la prima volta già nel 2017 dal ricercatore olandese Loran Kloeze, che aveva dimostrato la stessa tecnica su scala ridotta. Meta aveva allora considerato il problema non critico, sostenendo che i dati esposti fossero già pubblici per design e che esistessero difese contro lo scraping automatico. Nel corso degli anni l'azienda ha implementato alcune misure di mitigazione, tra cui filtri basati su machine learning per identificare pattern sospetti, ma queste si sono rivelate insufficienti contro uno script ben configurato. La rivelazione del problema a Meta da parte dei ricercatori austriaci è avvenuta in maniera riservata alla sola azienda lo scorso aprile, per darle il tempo di implementare misure di mitigazione prima della rivelazione pubblica; solo dopo sono state introdotte restrizioni più severe sulle richieste, applicate a partire da ottobre.
Il database raccolto durante la ricerca è stato eliminato una volta completato lo studio e verificata l'applicazione delle correzioni. Il rapporto è intitolato Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy. Esso evidenzia come i numeri di telefono, per loro natura prevedibili e con scarsa entropia, non siano identificatori adeguati per servizi su scala globale senza protezioni robuste contro questo tipo di attacchi. Se ottenuto da criminali, un dataset di questa portata avrebbe potuto facilitare campagne massive di smishing, vishing, social engineering o sorveglianza mirata, specialmente in combinazione con altre fonti di dati pubblici.
Meta ha cercato di difendersi affermando che dopotutto i contenuti delle chat non sono mai stati a rischio e che i metadati esposti erano già accessibili a chiunque fosse in possesso del numero di telefono, per esempio sincronizzando la rubrica. L'azienda ha comunque riconosciuto l'utilità della ricerca e rafforzato i controlli. Per gli utenti, le impostazioni di privacy esistenti permettono di limitare la visibilità di foto profilo e status ai soli contatti, riducendo l'esposizione in caso di future vulnerabilità simili.
La sincronizzazione immediata dei contatti è una funzionalità apprezzata e il caso solleva interrogativi sulla priorità data alla user experience rispetto a misure di sicurezza più stringenti, come l'introduzione di nomi utente al posto dei numeri di telefono. Questa funzione è effettivamente in fase di lenta distribuzione graduale.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
La IA di WhatsApp riassume i messaggi non letti. Ma si legge tutte le chat
Commenti all'articolo (ultimi 5 di 6)
26-12-2025 16:30
24-12-2025 15:14
23-11-2025 13:31
21-11-2025 21:40
20-11-2025 20:12
Inserisci un commento - anche se NON sei registrato
|
|
||
|
- Altra ferraglia stand-alone:
Android TV e smart TV - Sicurezza:
Abbonamento ad antivirus con prova gratuita - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Windows 11, 10:
Comparsa di un Disco Locale sconosciuto - Al caffe' dell'Olimpo:
[GIOCO] L'utente dopo di me - Motori di ricerca:
I motori di ricerca privati - Linux:
Infloww su linux, si può? - Pc e notebook:
Caricare pc power bank - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Al Caffe' Corretto:
btp valore
zeross