In base a quanto riportato da due ricercatori diciassettenni al sito “The Hacker News“, sarebbe stato scoperto un punto debole capace di rendere Whatsapp vulnerabile a un messaggio appositamente congegnato il cui semplice invio da remoto manderebbe in crash l’intera applicazione. Nello specifico, i due studiosi avrebbero spiegato in una dimostrazione video come un messaggio di 2000 parole (2KB di dimensioni) codificato con caratteri speciali possa mandare in tilt la celebre app. In precedenza era stato appurato che si era in grado di mandare in crash immediatamente sia l’applicazione sia il dispositivo stesso del malcapitato attraverso l’invio di un messaggio di dimensioni decisamente superiori (più grande di 7MB); ora, invece, con questo nuovo malware, al malintenzionato basta anche inviare un messaggio di dimensioni decisamente più esigue (approssimativamente di 2KB) per ottenere il medesimo scopo.
L’inconveniente consisterebbe nel fatto che l’utente che abbia ricevuto il messaggio maligno debba necessariamente cancellare tutta la conversazione alla quale esso appartiene ed avviarne una nuova, poiché l’apertura del messaggio incriminato continua a mandare in crash Whatsapp finché non si decide di rimuovere completamente la chat. Queste almeno sono state le parole di uno dei due ragazzi:
Quel che aggrava la situazione è che si debba cancellare l’intera conversazione con la persona con cui si stia conversando, allo scopo di ripristinare il normale funzionamento di Whatsapp.
Quindi, se ad esempio qualcuno non volesse che una data persona tenga traccia dei messaggi scambiati reciprocamente, in teoria avrebbe la possibilità di inviare questo particolare messaggio a quella persona, e costringerla a rimuovere la conversazione con essa occorsa fino a quel momento. Similmente, qualunque membro di un gruppo Whatsapp potrebbe intenzionalmente inviare un messaggio codificato in quel modo per estromettere persone dal gruppo o addirittura rimuovere il gruppo stesso.
Secondo i suddetti ricercatori, il punto debole in questione è stato analizzato e funziona sulla maggior parte delle versioni di Android compresi Jelly Bean, KitKat e precedenti, mentre non è ancora stato testato su iOS, sebbene si sia quasi certi del fatto che tutte le versioni di Whatsapp compresa la 2.11.431 e la 2.11.432 siano affette dal bug. L’ “assalto” non funzionerebbe su Windows 8.1.
È stata inoltre fornita la sinopsi del progetto, cioè la dimostrazione pratica del funzionamento di base del programma che produce questa sorta di “avaria”, attraverso il seguente filmato:
Ricordiamo infine che WhatsApp, acquistato da Facebook per 19 miliardi di dollari lo scorso febbraio, vanta oggi circa 600 milioni di utenti, 500 milioni dei quali – secondo i due ragazzi – avrebbe una versione incapace di difendersi da tale aggressione.
Via