Un bug di sistema permetteva di rubare dati con un semplice squillo. Un promemoria per chi gestisce dati sensibili (e non solo)
Basta una chiamata, o meglio bastava perché la falla è stata sistemata e ora WhatsApp non permette più a malintenzionati di impadronirsi dei dati sugli smartphone degli utenti con una semplice chiamata – o meglio uno squillo, perché non era neanche necessario rispondere.
A sfruttare questa vulnerabilità, presente sia negli iPhone sia nei dispositivi Android, era un software che “ha tutti i tratti distintivi di una compagnia privata nota per le sue collaborazioni con alcuni governi” scrive WhatsApp. Il Financial Times, grazie al quale questa storia è venuta a galla, è più diretto e chiama in causa l’azienda israeliana Nso Group, i cui servigi sono stati usati contro attivisti, dissidenti e giornalisti, tra cui il saudita Jamal Khashoggi, ucciso lo scorso ottobre.
Utile promemoria sul fatto che non esiste una tecnologia completamente sicura da intercettazioni e furti di dati, checché ne dicano le aziende coinvolte – e giova notare che WhatsApp presenta l’ultimo aggiornamento, quello che risolve la falla di sicurezza, con un “adesso puoi vedere sticker nelle dimensioni originali”. Ma è un promemoria utile soprattutto per chi ha a che fare con dati sensibili: oltre ai già citati dissidenti e attivisti, ci mettiamo politici, manager ed esponenti della malavita. Difficile che qualcuno sia disposto a investire nei costosi software di intrusione come quelli di Nso Group semplicemente per curiosare nella vita del vicino di casa o del collega di lavoro e infatti WhatsApp parla di “alcune dozzine” di dispositivi colpiti dal software-spia (che anche se fossero dieci o cento volte tanti, son comunque un’inezia rispetto al miliardo e mezzo di utenti).
Tuttavia, anche senza aziende di sicurezza (che bell’eufemismo!), non è che WhatsApp non divulghi niente. Il contenuto delle chat è infatti privato, ma non i metadata che l’azienda – proprietà di Facebook – conserva e analizza a fini pubblicitari. Metadata che poi altro non sono che il registro delle attività: quando, quanto e con chi comunicate. Certo, il contenuto è privato, ma – facciamo un esempio facile – Tizio scrive a una ragazza, all’inizio lei risponde, poi il silenzio; Tizio si sposta nei pressi di un ponte e poi chiama il Telefono Amico, lunga telefonata e poi ritorna a casa. Non sappiamo nulla, di quello che ha detto e scritto, ma ce n’è bisogno?