Con la crittografia end-to-end, WhatsApp aveva calmato le preoccupazioni degli utenti sulla possibilità che le loro conversazioni potessero essere viste da alcuni hacker, ma questo sistema di protezione è utile solo quando si tratta di comunicazioni one-to-one, nel caso di gruppi ci sono ancora parecchi rischi. Secondo un'indagine di un gruppo da parte dei crittografi della Ruhr Bochum University in Germania, alcuni Bug di WhatsApp permetterebbero agli hacker di infiltrarsi nelle chat di gruppo dell'applicazione molto più facilmente di quanto dovrebbe essere.
Il grave Bug e i suoi pericoli
Secondo la loro analisi, chiunque controlli i server di WhatsApp potrebbe facilmente inserire nuove persone in un gruppo privato, anche senza il permesso dell'amministratore.
Si tratta di un semplice errore poiché l'amministratore di un gruppo può invitare nuovi membri senza utilizzare alcun meccanismo di autenticazione, dunque chiunque abbia accesso ai server può aggiungere qualcuno che avrà automaticamente accesso non solo ai messaggi futuri ma anche alle informazioni dei partecipanti. Inoltre, solitamente l'aggiunta di un numero alla conversazione invia un messaggio all'intero gruppo, essendo questa l'unica misura di protezione, tuttavia i ricercatori avvertono anche che gli hacker potrebbero eliminare l'invio di questo messaggio di avviso nei gruppi. E in gruppi con più amministratori, il server dirottato potrebbe falsificare diversi messaggi per ogni amministratore, facendo apparire che un altro abbia invitato l'hacker, in modo che nessuno abbia generato un allarme.
Dopo aver diffuso questa informazione, WIRED ha intervistato i creatori di WhatsApp che hanno confermato i risultati dei ricercatori, ma hanno sottolineato che nessuno può aggiungere segretamente un nuovo membro a un gruppo.
La risposta di Whatsapp
Da parte loro, i ricercatori tedeschi hanno detto di aver avvisato WhatsApp del problema della sicurezza dei messaggi di gruppo lo scorso luglio, ma la risposta è stata che l'errore di invito del gruppo trovato era semplicemente "teorico" e non si è riscontrato nei test sugli errori gestito da Facebook, proprietario aziendale di WhatsApp, in cui i ricercatori di sicurezza ricevono i pagamenti per segnalare difetti nel software dell'azienda. Naturalmente, dato che il primo passo è controllare il server, questo tipo di attacchi sarebbe limitato agli hacker sofisticati e ai dipendenti di WhatsApp, ma anche ai governi che obbligano legalmente l'azienda a concedere loro l'accesso.
