La debolezza della sicurezza di WhatsApp e Signal permette agli aggressori poco abili di tracciare gli utenti

Un gruppo di ricercatori dell'Università di Vienna ha trovato una piccola ma seria falla di sicurezza nel modo in cui funzionano i servizi di messaggistica crittografata end-to-end (E2EE). Lo studio, pubblicato inizialmente il 17 novembre 2024, con il titolo "Careless Whisper: Sfruttare le ricevute di consegna silenziose per monitorare gli utenti sui messaggeri istantanei mobili", evidenzia la possibilità di tracciare i dispositivi utilizzando i dati Round-Trip Time (RTT) quando sono installati WhatsApp o Signal.

Su GitHub è stato rilasciato un programma che può sfruttare automaticamente questa vulnerabilità in WhatsApp. Sebbene la fornitura di uno strumento di questo tipo sollevi preoccupazioni etiche, il suo scopo è quello di fare pressione su WhatsApp affinché affronti il problema della sicurezza e migliori le protezioni della privacy degli utenti.

Si scopre che l'idea di base di questo programma è sorprendentemente semplice. Il tracker invia messaggi di reazione a ID messaggio inesistenti. Il dispositivo di destinazione risponde comunque con una ricevuta di consegna. Questa reazione, invisibile all'utente, rivela il tempo necessario per inviare e ricevere la richiesta manipolata: l'RTT.

Sebbene questi dati da soli non rivelino una posizione immediata, possono fornire informazioni preziose se raccolti per periodi prolungati. I modelli all'interno dei dati RTT possono indicare quando un dispositivo è attivamente in uso o in modalità standby. Si può anche dedurre il tipo di connessione di rete, come Wi-Fi o cellulare. Analizzando questi modelli di attività per ore o giorni, gli aggressori potrebbero trarre conclusioni sul comportamento dell'utente. Inoltre, le richieste costanti consumano la durata della batteria e i dati mobili dello smartphone colpito.

Attualmente, gli utenti hanno opzioni limitate per difendersi da questo metodo di tracciamento. Non ci sono notifiche sugli smartphone che avvisano gli utenti di questo monitoraggio. Non è possibile ottenere il numero di telefono dell'aggressore, rendendo impossibile il blocco. Né Signal né WhatsApp offrono attualmente un'opzione per disabilitare le ricevute di consegna. Una soluzione drastica è l'unica opzione al momento. Rimozione di tutti i servizi di messaggistica crittografata end-to-end impattati dal suo dispositivo.