Apps & Mobile / in evidenza / Marketing

Whatsapp a rischio privacy su Android: ecco perche’

Whatsapp a rischio privacy su Android: ecco perche’
2 minuti di lettura

Ci provano in ogni modo, ma da qui a riuscirci (l’obiettivo è scalfire l’immagine di Whatsapp per almeno limitarne il dominio nel campo della messaggistica online) sarà dura. Anche se questa storia di Whatsapp a rischio privacy e soprattutto delle conversazioni su Android visibili da tutte le app e quindi a portata di malintenzionato (poi specificheremo cosa significa), evidentemente, non è il massimo nella vita per chi si occupa di sistemi di comunicazione.

Entriamo subito dentro il problema: c’è una falla di sicurezza in Whatsapp che consente agli hacker di leggere le conversazioni di qualsiasi utente. La falla è stata scoperta da esperto di tecnologia e pubblicità Bas Bosschert.

Whatsapp a rischio privacy

Whatsapp per Android non salva le conversazioni dell’utente sul cloud (come invece succede su Apple) ma, viceversa, memorizza ogni cosa sul dispositivo, più precisamente all’interno dell’omonima cartella /WhatsApp. Le conversazioni quindi si trovano all’interno della directory /WhatsApp/Databases e vengono conservate in forma criptata.

I dati quindi non sono protetti in alcun modo e, soprattutto, non si ha bisogno nemmeno dei permessi di root per poterli copiare, spostare, cancellare. Ciò, ovviamente, pone Whatsapp a rischio privacy perché qualsiasi applicazione che abbia accesso alla memoria è potenzialmente in grado di copiare le conversazioni di Whatsapp e di trasferirle attraverso la rete (quasi tutte le app hanno accesso ad internet).

Copia e incolla

Abbiamo detto che il database di Whatsapp, sui dispositivi Android, viene salvato sulla scheda di memoria del telefono, quindi è accessibile da una qualunque altra app abbia l’accesso ai dati, ed è abbastanza normale che l’utente fornisca accesso alla memoria se è un’app a richiederlo. E’ bene ricordare che Whatsapp salva tutti i messaggi nei file msgstore.db, wa.db e msgstore.db.crypt.

Le versioni più recenti dell’app per Android usano la crittografia per impedire la lettura dei messaggi contenuti nel file msgstore.db.crypt, quindi l’utente non dovrebbe correre nessun rischio. In realtà, la chiave per cifrare il database è sempre la stessa, per tutti. Un script può decifrare il file e mostrare il database SQLite3 in chiaro. Per gli altri due file non è necessario questo per cui la lettura è immediata.

Se viene attivata l’opzione che permette di installare app da fonti sconosciute, è facile ingannare l’utente con una app fraudolenta, a cui viene concesso il permesso di accesso alla card microSD. L’utente non si accorgerà che il suo database di messaggi verrà inviato ad un server remoto.

Ultimo aggiornamento

La falla di sicurezza trovata su Whatsapp non è stata corretta neanche dopo l’aggiornamento del programma di qualche giorno fa alla versione 2.11.186 Android. Infatti in  questo aggiornamento si è cercato di migliorare la sicurezza degli utenti consentendo agli utenti  di Whatsapp di nascondere gli ultimi dati d’accesso o immagine del profilo, oltre alla possibilità di pagare un abbonamento ad un amico.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>