C'è una falla nella app più scaricata del mondo che ne mette a rischio sicurezza e privacy. C'è un bug che Meta potrebbe risolvere con il prossimo aggiornamento ma fino ad allora meglio non lasciare i nostri telefonini in mani non sicure. O rischiamo che le nostre chat di whatsapp finiscano in un altro telefono a nostra insaputa.
"Ci vogliono meno di cinque secondi - ci spiega collegato su Meet l'hacker etico Andrea Mavilla, che guida il team sulla cybersicurezza del Canale group, di stanza a Reggio Calabria, per cui sta lavorando - ti faccio vedere come. Ma non descrivere in dettaglio tutta la procedura, altrimenti è un guaio". Tutto ciò che ci chiede è di smanettare sul nostro account, come farebbe un malintenzionato disposto a spiarci a distanza. "Si tratti di un marito o di un fidanzato geloso, di una nostra compagna di banco invidiosa o di un collega d'ufficio che vuole metterci in cattiva luce col capo". Non ci vogliono grandi competenze informatiche, anzi. Ma il meccanismo diabolico consente di creare una sorta di telefonino "specchio" nel quale rimbalzano in tempo reale le stesse notifiche. C'è una funzione nel mirino, quella che consente di allargare ad altri dispositivi - tipo whatsapp web per pc - le nostre conversazioni. C'è chi lo fa scientemente con una procedura che passa da un codice qr da scansionare e il gioco è fatto. Ma è possibile che lo faccia qualcun altro a nostra insaputa? Sì, perché ad oggi non c'è un alert che ci avverta che qualcuno ha installato sul suo dispositivo il nostro whatsapp.
Mavilla prende il suo cellulare e ci mostra il trucco, elementare. Tempo cinque secondi e vediamo la sua chat del calcetto, l'amica che gli manda l'invito per la pizzata di stasera, il messaggino del legale che rappresenta la società calabrese Canale Group che dal 1979 lavora con Pubblica amministrazioni e privati e che ci raccomanda di raccontare questa storia con la giusta accortezza. Il mio whatsapp resta lì dov'è. Dopo qualche minuto tocca al cellulare della figlia, vediamo foto che chiunque entrasse in possesso di questo dispositivo potrebbe scaricare, senza che né la bimba né il padre se ne accorga. "Nei giorni scorsi sono usciti diversi pezzi sul presunto spionaggio digitale che secondo Meta sarebbe stato condotto attraverso una versione contraffatta di WhatsApp da Asigint, azienda italiana del settore cyber intelligence controllata da Sio Spa", ci racconta Mavilla. Come verifichiamo attraverso alcuni articoli usciti nei principali quotidiani e siti di informazione la multinazionale statunitense sarebbe intervenuta notificando ai 200 bersagli vittime del download sbagliato - in gran parte nostri connazionali - il raggiro di cui sarebbero stati vittime di questo software malevolo distribuito fuori da Google Play o App store. Un clone che non avrebbe messo a rischio la privacy e la sicurezza delle conversazioni, giurano da Meta.
La vicenda ha allarmato e incuriosito gli esperti di cybersicurezza e crittografia come Mavilla, che si è messo a studiare. Quando ha scoperto questa impensabile criticità è saltato dalla sedia e ci ha chiamati. La conversazione con Mavilla è stata registrata da Canale Group ed è a disposizione di Meta e dell'autorità giudiziaria per le sue potenziali ricadute. Che il bug sia già a conoscenza della società americana lo testimonierebbe il fatto che sarebbe già disponibile un elenco dei dispositivi collegati - funzione non a conoscenza di tutti - ma anche di una recente anticipazione della nuova app che consentirebbe la facoltà di segnalare gli eventuali nuovi dispositivi collegati con un alert. Implementazione che secondo WaBetainfo potrebbe uscire a giorni, da qui l'obbligo morale che ha spinto Mavilla e i vertici di Canale Group a segnalare ai media la potenziale vulnerabilità dei nostri telefonini e della nostra privacy.