WhatsApp ha annunciato l’introduzione di una serie di misure di sicurezza che hanno lo scopo di meglio proteggere l’utente dagli attacchi diretti a prendere il controllo dell’account (o Account Takeover). La prima, e più importante, di queste misure è “Verifica del dispostivo“, che impedisce ai malware di utilizzare chiavi di autenticazione sottratte da dispositivi compromessi o tramite client non ufficiali per impersonare account e utilizzarli per inviare messaggi di phishing ai contatti presenti nelle rubriche degli utenti presi di mira.
La funzionalità si occuperà di bloccare i tentativi di dirottamento degli account tramite una serie di controlli dietro le quinte, che prevedono l’impiego di tre nuovi elementi: un token di sicurezza memorizzato sul dispositivo, una nonce utilizzata per identificare se il client si sta connettendo per recuperare un messaggio dai server di WhatsApp e una cosiddetta “authentication challenge” che esegue un ping asincrono del dispositivo dell’utente.
“Il malware per dispositivi mobile rappresenta oggi una delle minacce principali alla privacy e alla sicurezza delle persone, perché può sfruttare lo smartphone senza autorizzazione e utilizzare WhatsApp per inviare messaggi indesiderati. Per evitare che ciò accada, abbiamo aggiunto alcuni controlli che aiutano ad autenticare l’account, senza che sia necessaria alcuna azione attiva dell’utente, e fornire miglior protezione se il dispositivo viene compromesso” spiega la società.
La funzionalità di verifica del dispostivo è già stata implementata per gli utenti Android ed è al momento in fase di distrbuzione anche per la versione iOS dell’app. Vi sono poi altre due misure di sicurezza che hanno lo scopo di informare l’utente quando l’account viene spostato su un altro dispositivo, così da verificare i codici di sicurezza e confermare le connessioni sicure al server.
Protezione account, questo il nome della prima funzionalità, sarà di fatto un doppio controllo quando gli account WhatsApp vengono collegati a nuovi dispositivi, avvisando l’utente nel caso si verifichino tentativi di trasferimento non autorizzati.
“Codici di sicurezz automatici” è invece una nuova funzione che permette ai client WhatsApp di convalidare le chiavi di crittografia e verificare l’abilitazione end-to-end, sfruttando Auditable Key Directory e la trasparenza delle chiavi. Sintetizzando, queste misure permettono di verificare in maniera più agevole che la connessione e la conversazione è protetta da crittografia.