Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta

WhatsApp, l’app di messaggistica di Meta con oltre 3 miliardi di utenti attivi mensili, ha iniziato a introdurre modifiche tecniche per mitigare alcune vulnerabilità legate alla privacy dei dispositivi degli utenti. Le correzioni, individuate tramite strumenti di ricerca indipendenti, sono state implementate senza comunicazioni ufficiali e risultano, allo stato attuale, solo parziali.

Il problema riguarda il cosiddetto fingerprinting dei dispositivi, una tecnica che consente a un attaccante di dedurre informazioni sensibili come il sistema operativo utilizzato dalla vittima.

Sebbene la crittografia end-to-end protegga il contenuto dei messaggi, alcune scelte di progettazione del protocollo multi-dispositivo espongono metadati utili nella fase di ricognizione di un attacco informatico.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nelle operazioni di cyber-spionaggio o diffusione di malware mirato, la fase di ricognizione è cruciale. Conoscere in anticipo se una vittima utilizza Android o iOS consente agli aggressori di distribuire exploit compatibili, riducendo il rischio di errori che potrebbero compromettere preziose vulnerabilità zero-day o infrastrutture complesse e costose.

All’inizio del 2024, ricercatori indipendenti hanno documentato come il protocollo E2EE multi-dispositivo di WhatsApp permettesse di distinguere i singoli dispositivi associati a un account, a causa dell’uso di sessioni crittografiche separate per ciascun device. Successive analisi hanno mostrato come queste sessioni potessero essere sfruttate per colpire selettivamente un dispositivo specifico dell’utente.

Nel 2025, lo studio di Gegenhuber e collaboratori ha dimostrato che tali differenze non si limitano all’identità del dispositivo, ma permettono anche di rilevarne l’impronta digitale completa, inclusa l’identificazione precisa del sistema operativo. Queste informazioni possono essere ottenute interrogando i server di WhatsApp, senza alcuna interazione diretta con il dispositivo della vittima e quindi senza che l’utente ne sia consapevole.

Utilizzando uno strumento di analisi proprietario, i ricercatori hanno osservato recentemente una modifica nella logica di gestione degli identificativi crittografici su Android. In precedenza, alcuni parametri venivano inizializzati con valori incrementali prevedibili; ora, almeno su Android, tali valori risultano assegnati in modo casuale.

Questo cambiamento rappresenta un primo segnale di intervento da parte di WhatsApp su una problematica di lunga data, inizialmente non considerata rilevante sotto il profilo della privacy. Tuttavia, la distinzione tra Android e iPhone rimane possibile con elevata probabilità, poiché iOS continua a utilizzare una logica di inizializzazione differente, basata su incrementi graduali.

Resta inoltre aperto il tema della trasparenza.

Le correzioni sono state applicate senza notificare formalmente i ricercatori che avevano segnalato le vulnerabilità, senza l’assegnazione di un CVE e, in alcuni casi, senza un adeguato riconoscimento tramite bug bounty.

Secondo gli autori delle ricerche, una collaborazione più strutturata e aperta con la comunità della sicurezza contribuirebbe a migliorare la tutela degli utenti su scala globale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.