WhatsApp, i messaggi non sono privati

Una vulnerabilità di WhatsApp permette di accedere al database dei messaggi salvato sulla microSD. La chiave per cifrare il file è sempre la stessa.
Una vulnerabilità di WhatsApp permette di accedere al database dei messaggi salvato sulla microSD. La chiave per cifrare il file è sempre la stessa.
Luca Colantuoni
Pubblicato il 12 mar 2014

WhatsApp si appresta a festeggiare il traguardo dei 500 milioni di utenti mensili, aggiungendo le chiamate vocali alle app per Android e iOS. Il servizio di messaggistica, però, non è ancora perfetto dal punto di vista della sicurezza. Uno sviluppatore olandese ha infatti scoperto una vulnerabilità che potrebbe essere sfruttata per leggere i messaggi inviati e ricevuti, utilizzando una qualsiasi applicazione Android.

Il consulente tecnico Bas Bosschert ha descritto il funzionamento del proof-of-concept sul suo blog personale. Per sottrarre i dati riservati agli utenti di WhatsApp è sufficiente scrivere poche righe di codice in PHP e Java, sfruttando i permessi concessi alle app Android (che molti nemmeno leggono prima dell’installazione). Il database del servizio di messaggistica viene conservato sulla card microSD dello smartphone, non sui server dell’azienda, acquisita recentemente da Facebook per 19 miliardi di dollari. Questo per non perdere i messaggi nel caso in cui l’app venga reinstallata o si cambi dispositivo.

WhatsApp salva tutti i messaggi nei file msgstore.db, wa.db e msgstore.db.crypt. Le versioni più recenti dell’app per Android usano la crittografia per impedire la lettura dei messaggi contenuti nel file msgstore.db.crypt, quindi l’utente non dovrebbe correre nessun rischio. In realtà, la chiave per cifrare il database è sempre la stessa, per tutti. Un semplice script può decifrare il file e mostrare il database SQLite3 in chiaro. Per gli altri due file, invece, non è nemmeno necessario questo passo, per cui la lettura è immediata.

Se viene attivata l’opzione che permette di installare app da fonti sconosciute, è abbastanza semplice ingannare l’utente mediante una app fraudolenta, alla quale viene concesso (magari inavvertitamente) il permesso di accesso alla card microSD. L’utente non si accorgerà che il suo database dei messaggi verrà inviato ad un server remoto. È dunque consigliabile installare sempre la versione più aggiornata di WhatsApp e scaricare le app unicamente dal Google Play Store. L’alternativa è usare altre app simili, ma più sicure, come Telegram.

Ti consigliamo anche

È deciso: da luglio il passaporto si farà in tutti gli uffici postali
Web e Social

È deciso: da luglio il passaporto si farà in tutti gli uffici postali
Il Vaso di Pandoro: Lucarelli in cima ad Amazon con la
Web e Social

Il Vaso di Pandoro: Lucarelli in cima ad Amazon con la "caduta" dei Ferragnez
ChatGPT: in arrivo l'integrazione con Google Drive
Web e Social

ChatGPT: in arrivo l'integrazione con Google Drive
Google Veo, la nuova IA che genera video super realistici: come accedere al servizio
Software e App

Google Veo, la nuova IA che genera video super realistici: come accedere al servizio
Link copiato negli appunti