Quando usiamo WhatsApp pensiamo sempre alla sicurezza dei dati e alla protezione della nostra privacy, ma non penseremmo mai che esiste un modo che può bloccarci l’account solo conoscendo il nostro numero di telefono. Neanche l’autenticazione a due fattori può evitare il blocco e tenerci al sicuro da eventuali malintenzionati.
Fatto ancora più sconcertante è che per attuare il blocco dell’account, non è necessario un background da hacker, ma basta solo un pizzico di pazienza. Infatti per disattivare l’account di WhatsApp bastano due passaggi.
Nota: non testarlo su utenti senza un loro consenso esplicito.
1. Bloccare per 12 ore l’invio del codice di verifica
In questo schema si ipotizza che la vittima abbia l’autenticazione a due fattori abilitata, quindi in caso di attivazione di un account con lo stesso numero, questo riceverà un SMS sul numero indicato.
Vediamo le procedure per attuare la prima parte dell’attacco:
- Scaricare l’app di WhatsApp e inserire il numero di telefono dell’account che si vuole bloccare;
- WhatsApp invierà un codice di verifica sul numero di telefono inserito. Ovviamente chi effettua l’attacco non può leggere questo codice;
- Il malintenzionato continua ad inserire codici errati fino ad attivare il blocco di 12 ore dell’invio di ulteriori codici di sicurezza.
2. Richiedere il blocco dell’account per furto/smarrimento
Nonostante il blocco dell’invio dei codici di sicurezza, l’account in questa fase continua a funzionare regolarmente sul dispositivo della vittima. Infatti per attuare il blocco vero e proprio, bisogna segnalare il dispositivo come smarrito/rubato.
Vediamo quindi come mettere in pratica la seconda parte dell’attacco:
- Registrare un nuovo indirizzo email;
- Inviare una email al servizio di supporto di WhatsApp segnalando che lo smartphone associato al numero di telefono della vittima è stato rubato.
La procedura di blocco dell’account è completamente automatizzata e WhatsApp non richiede alcuna informazione aggiuntiva oltre al numero di telefono su cui effettuare il blocco.
WhatsApp invia quindi una notifica sullo smartphone della vittima comunicando che il numero di telefono non è più associato a WhatsApp e che per riattivarlo bisogna chiedere il codice di verifica. La richiesta del codice di verifica è però disattivata per 12 ore, quindi il malcapitato non è in grado di ripristinare il proprio account prima che sia trascorso questo lasso di tempo.
Per prolungare il blocco oltre le 12 ore è sufficiente ripetere l’attacco più e più volte in modo da rendere il blocco potenzialmente permanente.
Cosa dice WhatsApp
Secondo WhatsApp però il rischio che qualcuno sfrutti questa vulnerabilità è molto basso e che non si tratta di un bug, ma di un meccanismo logico utilizzato per snellire le procedure in fase di smarrimento del dispositivo.
WhatsApp fa anche sapere che attivare l’autenticazione a due fattori e contattare il servizio di assistenza esponendo l’accaduto è il principale modo per risolvere il problema.