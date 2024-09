Puoi imparare un numero sorprendente di cose su qualcuno tramite WhatsApp, anche senza averci mai parlato.

Almeno, questo secondo il lavoro di un ricercatore in sicurezza che ha scoperto come sia possibile appropriarsi della foto profilo e dello status online di un numero di utenti WhatsApp, e fare in pratica un database di tutte le persone che usano il servizio ma non hanno attivato determinate protezioni.

Il problema — ovvero essere in grado di enumerare informazioni su utenti senza particolari limiti — non è di per sé una novità; diversi ricercatori hanno condotto esperimenti simili con altre app. Ma mette comunque in evidenza un potenziale problema di privacy che condiziona una delle piattaforme di messaggistica più popolari del pianeta.

“Creare un database di numeri di telefono, foto del profilo e informazioni dello status di quasi tutti gli utenti di WhatsApp a quanto pare è piuttosto semplice. L’utente non deve neanche essere aggiunto tra i tuoi contatti,” ha scritto in un blog post il ricercatore in sicurezza Loran Kloeze, la settimana scorsa.

Il truppo utilizza la versione per browser di WhatsApp, e l’API non documentata del servizio. Armeggiando un po’ con queste due cose, Kloeze si è accorto che era possibile usare uno script per richiedere i dati relativi a un utente, a patto di avere il suo numero di telefono. Il punto è che WhatsApp non sembra limitare in modo severo il numero di richieste che puoi fare, il che significa che Kloeze è riuscito a macinare centinaia di possibili numeri di telefono a gran velocità, e generare una lista di colpi mandati a segno.

Un esempio di alcuni dati raccolti da Kloeze. Immagine: Loran Kloeze

Di nuovo, potrebbe trattarsi solo di un rischio potenziale per la privacy; alcune persone non si fanno troppi problemi se i loro dati vengono raccolti. E gli utenti WhatsApp possono decidere di nascondere la propria immagine profilo e lo status online. A prescindere, la ricerca fornisce tutta una serie di possibilità interessanti.

“Il database può è essere analizzato in modo tale da ricavare informazioni su quando un certo numero di telefono è stato online e capire quale foto profilo appartiene a quale numero. Dopo un paio di mesi, può dirmi quanto spesso una persona cambia la propria immagine e con cosa,” ha scritto Kloeze.

Kloeze ha detto di aver informato del trucco Facebook, proprietaria di WhatsApp, e che l’azienda avrebbe risposto che il problema non rientrava nello scopo del loro programma Bug bounty.

Un portavoce di WhatsApp ha detto a Motherboard via email, “WhatsApp è costruito per essere semplice, affidabile e sicuro, e apprezziamo i feedback che rendono il nostro prodotto migliore. Dietro le quinte, WhatsApp individua gli abusi basandosi su misure che identificano e bloccano il data scraping. Facciamo valutazioni e implementiamo nuove misure continuamente, al fine di migliorare la sicurezza delle persone sia su mobile che su desktop. Inoltre, forniamo gli strumenti agli utenti per una privacy ulteriore nelle Impostazioni.”