Il codice per sfruttare la falla è già pubblico.
[ZEUS News - www.zeusnews.it - 12-03-2014]
Da qualche tempo a questa parte - in particolare dopo l'acquisizione da parte di Facebook, l'interesse per le misure di sicurezza offerte da WhatsApp è andato crescendo.
Ora un consulente olandese, Bas Bosschert, afferma che il modo stesso in cui WhatsApp salva i messaggi consente facilmente a un'app di accedere a tutte le conversazioni.
Per dare prova di quanto asserito, Bosschert ha pubblicato sul proprio blog il codice necessario per avere una dimostrazione funzionante di quanto sia facile ottenere i messaggi di WhatsApp.
I mezzi per raggiungere questo obiettivo sono due: da un lato c'è il database di WhatsApp, che il software di messaggistica salva sulla scheda SD dello smartphone, così che qualunque app abbia accesso alla scheda stessa possa accedere anche al database.
Dall'altro c'è l'abitudine di pressoché tutti gli utenti di concedere a ogni nuova app installata tutte le autorizzazioni che questa richieda, generalmente senza nemmeno leggerle.
|
Così, chiunque voglia sottrarre l'intero storico delle conversazioni degli utenti di WhatsApp non deve ingegnarsi molto: deve solo creare un'app interessante, fare in modo che tra le autorizzazioni ci sia anche l'accesso alla scheda SD e nascondere nell'app il codice che ruberà il database, magari inviandolo a un server remoto.
Nella dimostrazione scritta da Bosschert, l'app "ladra" nasconde le operazioni di upload del database al server remoto dietro una schermata di caricamento.
Non è difficile immaginare uno scenario in cui uno sviluppatore malintenzionato crei un gioco semplice ma accattivante - basta pensare a Flappy Bird per capire che il caso è tutt'altro che remoto - tale da invogliare gli utenti a scaricarlo.
Al primo avvio, una schermata di caricamento simile a quella proposta da Bosschert farà credere all'utente che il gioco sta eseguendo chissà quali operazioni, mentre in realtà sta sottraendo tutti i messaggi di WhatsApp.
Una strategia così semplice ha la potenzialità di trasformarsi in una violazione della privacy di migliaia di persone.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|