Un ricercatore tedesco ha individuato una vulnerabilità in WhatsApp, popolare app multipiattaforma per smartphone per l’invio e la ricezione di messaggi instantanei, gratuiti tramite internet. Conoscendo l’IMEI del telefono è possibile prendere possesso di un account, inviare messaggi e leggere anche le risposte. La spiegazione dettagliata della vulnerabilità si trova qui: in sostanza la password generata dal software per l’invio è facilmente ricavabile poiché si basa sul codice IMEI per gli smartphone Android (e su questo sistema le app possono ricavare l’IMEI) e sul MAC Address (indirizzo fisico assegnato in modo univoco dal produttore) per gli utenti iOS.
Il rischio della vulnerabilità è basso ma si spera che gli sviluppatori rilascino a breve un aggiornamento in grado di risolvere il problema (l’app è forte di un grande successo, sempre crescente grazie ad una sempre maggior diffusione degli smartphone e di pacchetti flat dati che gli operatori mettono a disposizione per gli utenti). Una possibile soluzione è l’introduzione di un Salt Crittografico (una sequenza casuale) all’interno della password rendendo notevolmente più difficile il cracking della stringa Hash Md5.
Grazie ad Andrea Draghetti per la segnalazione.
[A cura di Mauro Notarianni]
