WhatsApp, l'applicazione di messaggistica più popolare del pianeta, ha un problema che consente agli hacker di monitorare molto facilmente lo stato di attività degli utenti senza che questi sappiano cosa sta succedendo. Un esperto in sicurezza informatica ha scoperto la vulnerabilità esistente nell'applicazione WhatsApp per iPhone e Android, offrendo la possibilità a chiunque di sapere se una persona è attiva e legge/scrive messaggi oppure no.
WhatsApp presenta questa vulnerabilità nella piattaforma dopo che è stata scoperta anche in Facebook Messenger l'anno scorso, quindi Facebook non si è preoccupata di rimuoverla da tutte le sue piattaforme. Utilizzando questa vulnerabilità, un hacker può monitorare l'attività di varie persone nel tempo per sapere se stanno parlando tra loro, ma non può vedere i messaggi inviati, quindi non sa di cosa stanno parlando.
WhatsApp ha fatto sfruttare la vulnerabilità dall'esperto utilizzando un'estensione Chrome e solo 4 righe di codice JavaScript, quindi la tecnica in sé non è molto complessa. WhatsApp ha questo problema perché chiunque può verificare lo stato dell'attività di una persona sulla piattaforma e, in base all'accesso e all'uscita dalla rete, qualcuno può sapere quando gli utenti comunicano tra loro.
WhatsApp - le comunicazioni possono essere intercettate
WhatsApp dovrebbe, in teoria, consentire la richiesta dello stato di attività di una persona solo tramite le sue applicazioni e non da nessun altro su Internet. Si tratta di una misura di sicurezza che WhatsApp non impone alla sua piattaforma, per cui qualsiasi persona può essere monitorata dall'esterno da chiunque, compresi i siti web in grado di rilevare quando determinate persone sono attive nelle applicazioni.
WhatsApp non ha confermato né smentito la vulnerabilità e il codice necessario per monitorare costantemente l'attività di una persona è un po' più complesso, ma non impossibile da realizzare. WhatsApp certamente lo sa, e poiché ha scelto di non proteggere le informazioni sullo stato dell'attività di una persona, ha sicuramente una buona ragione per farlo, anche se l'intera faccenda è problematica.
setInterval(function() { var lastSeen = $('.pane-header .chat-body .emojitext').last().text(); console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen); }, 1000);
WhatsApp con questa vulnerabilità mi ricorda i vecchi siti Web e programmi creati appositamente per rilevare se una persona è attiva o meno sulla piattaforma Yahoo Messenger. Il principio alla base di questa vulnerabilità esistente in WhatsApp è esattamente lo stesso e, dal mio punto di vista, penso che sia improbabile che WhatsApp lo risolva troppo presto perché non ha motivo di farlo.
WhatsApp vuole che gli utenti della sua piattaforma siano monitorati da altri, altrimenti non avrebbe deciso di mantenere questa vulnerabilità.
