Il grave problema di sicurezza che ha colpito WhatsApp e Telegram

Del grosso problema che ha colpito WhatsApp e Telegram andando a affliggere la sicurezza stessa dei servizi nella loro parte web per fortuna ora possiamo parlare al passato dato che le società proprietarie hanno immediatamente corretto e sistemato il buco. Ma ciò non significa che ora si debba prendere troppo alla leggera questo sistema di messaggistica istantanea per multidispositivo e multipiattaforma, perché questo avvenimento crea un delicato precedente che si deve sempre tenere presente per evitare che si ripresenti in futuro. Inoltre, sottolinea quanto sia labile il confine tra consapevolezza di mettersi allo scoperto di attacchi e inevitabilità che questi avvengano, anche con il massimo delle precauzioni. Scopriamone di più.

Sintetizziamo in una frase il pericolo che si correva con la falla informatica che aveva colpito la piattaforma web di WhatsApp e Telegram: si riceveva un’immagine che poteva essere aperta anche involontariamente e che, però, faceva da breccia per entrare nel dispositivo, in questo caso il computer. Non solo, i computer infetti facevano da zombie andando a loro volta a mandare la foto maligna ad altri contatti estendendo in modo esponenziale la portata della minaccia. La scoperta è avvenuta per mano della società impegnata nella sicurezza tech, Check Point Software. Precisiamo subito un punto: non è stata un’azione da parte di un cybercriminale, ma un atto dimostrativo degli stessi scopritori, che così hanno contattato in modo istantaneo i due servizi affinché potessero mettere subito una pezza.

Fortunatamente, la scoperta è stata dunque applicata per metodi quasi scientifici e non ha visto una diffusione per scopi malevoli anche perché parliamo di un potenziale pubblico di un miliardo di utenti per quanto riguarda WhatsApp (che è di proprietà di Facebook) e cento milioni circa per Telegram, che è uno dei suoi rivali più accaniti in Occidente. Cosa comportava questa breccia? Si andava ad aggirare la crittografia end-to-end che faceva dunque decadere la tanto ostentata privacy degli utenti per avere completa visibilità sui contenuti diffusi.

C’è infatti da non dimenticare che gli stessi servizi non hanno accesso ai contenuti dunque ciò impedisce loro di andare a controllare se per caso si sia ricevuto codice malevolo in eventuali allegati spediti come messaggi. D’ora in poi verrà invece approntato un controllo pre-crittografia. L’immagine esca di Check Point utilizzava un file html infetto che incorporava l’anteprima dell’immagine che, di fatto, celava il vero contenuto e le vere intenzioni. Problema risolto, ma che ha sollevato un po’ di inquietudine su una debolezza finora rimasta allo scoperto. Sintomo che non bastano le difese di default del sistema né quelle dell’utente (buon senso) per stare al sicuro al 100%.