WhatsApp, così si potevano manipolare le conversazioni

Un team di ricercatori Check Point composto da Dikla Barda, Roman Zaikin e Oded Vanunu ha messo a punto tre attacchi che sfruttano una serie di falle in WhatsApp per manomettere le conversazioni. Le tre vulnerabilità sono state segnalate a fine 2018 all’azienda, che ha avuto così tempo per provvedere a risolvere il problema: consentivano agli attaccanti di intercettare e manipolare i messaggi inviati dagli utenti di WhatApp in conversazioni private e di gruppo. Gli esperti avvertono di possibili abusi delle tecniche di attacco per diffondere false informazioni, apparentemente da fonti ritenute attendibili.

Vanunu ha spiegato nel corso della conferenza Black Hat di Las Vegas, in Nevada, che le vulnerabilità sono state riportate a in modo responsabile nel 2018, ma sono rimaste sfruttabili per molto tempo. “Check Point Research, tuttavia, ha recentemente svelato nuove vulnerabilità nella popolare applicazione di messaggistica che potrebbe consentire ad attori malevoli di intercettare e manipolare i messaggi inviati in conversazioni sia private che di gruppo, dando agli aggressori un immenso potere, quello di creare e diffondere disinformazione da quelle che sembrano essere fonti attendibili” recita un pubblicato da CheckPoint.

La dinamica dell’attacco

Il Financial Times ha riportato che secondo Facebook, che possiede WhatsApp, le vulnerabilità erano dovute a “limitazioni che non possono essere risolte a causa della architettura della piattaforma”. WhatsApp cifra ogni messaggio, immagine, chiamata, video o qualsiasi altro tipo di contenuto che potrebbe essere inviato in una conversazione e consente solo al destinatario di decifrarlo.

Gli esperti di Check Point hanno effettuato un reverse engineering dell’algoritmo utilizzato dalla popolare applicazione per decifrare i dati e hanno scoperto che WhatsApp utilizza il protocollo protobuf2. Sono stati quindi in grado di convertire i dati dal formato protobuf2 in JSON, fatto che ha consentito loro di analizzare i parametri effettivi trasmessi e tentare di manipolarli a scopo di test. I ricercatori hanno quindi sviluppato un’estensione Burp Suit presentata alla conferenza Black Hat ed hanno ideato 3 metodi di manipolazione per eseguire l’attacco.

“Il nostro team ha sviluppato tre possibili metodi di attacco che sfruttano questa vulnerabilità, tutti implicano tattiche di ingegneria sociale per ingannare gli utenti finali” continua il post. Secondo quanto illustrato, l’attaccante può:

1. utilizzare la funzione “quote” in una conversazione di gruppo per modificare l’identità del mittente, anche se quella persona non è un membro del gruppo;
2. modificare il testo della risposta di qualcun altro;
3. inviare un messaggio privato a un altro partecipante di un gruppo mascherato da messaggio pubblico, in modo che quando la persona interessata risponde il testo inviato sarà visibile a tutti nella conversazione.

Secondo quanto asserito nel corso della presentazione, solo il terzo dei problemi sopra elencati sembra essere stato risolto da Facebook: i restanti due problemi sono ancora presenti.

Il punto di Check Point

“È una vulnerabilità che consente a un utente malintenzionato di creare notizie false e frodare le vittime” Vanunu ha dichiarato alla BBC. “Puoi cambiare completamente ciò che qualcuno dice – ha aggiunto Vanunu – Puoi manipolare completamente ogni interlocutore nella conversazione”. Check Point ha deciso di divulgare la notizia dopo aver atteso un tempo sufficiente alla risoluzione del problema, convinta che rivelando le falle WhatsApp sarà costretta a porre rimedio quanto prima. “WhatsApp serve il 30 percento della popolazione mondiale. Esiste un grosso problema di manipolazione delle conversazioni e potenziale disinformazione. È un’infrastruttura che serve oltre 1,5 miliardi di utenti. Non possiamo trascurare queste vulnerabilità” ha concluso Vanunu.

Check Point ha pubblicato i dettagli tecnici delle vulnerabilità in un post.