Recentemente WhatsApp ha abilitato l’Autenticazione a Due Fattori per rendere la piattaforma più sicura, ma vi sono grosse lacune sul livello di sicurezza che ha scelto di introdurre.
Questo ulteriore strato di protezione dovrebbe garantire all’utente una maggior sicurezza e l’impossibilità di usare le vulnerabilità del protocollo telefonico SS7 per impossessarsi di un account WhatsApp altrui.
Il 2FA può essere implementato mediante diverse metodi, pin/password (codice statico), token/otp (password random ogni x secondi) o biometria (impronta digitale, iride, ecc). WhatsApp ha scelto il primo metodo (come Telegram ad esempio).
Comunemente il 2FA mediante pin/password è una protezione “sconnessa” richiesta solo in una determinata azione, in questo caso l’autorizzazione ad abilitare un nuovo dispositivo. Il codice scelto dall’utente non deve essere richiesto periodicamente altrimenti aumenta sensibilmente il rischio che tale codice possa essere esposto e quindi compromesso! È un codice che dovrebbe essere scritto o stampato su carta e conservato in una cassaforte (come specifica 1Password, Blockchain, ecc). Anche Telegram avvisa una sola volta.
WhatsApp ha invece deciso di richiede all’utente di inserire saltuariamente il codice del 2FA quando la best-practice prevederebbe di richiederlo solo all’attivazione di un nuovo device. Inoltre se l’utente dimentica il codice della verifica in due passaggi (su un device già attivo) con un semplice click può disabilitare la protezione e quindi l’utente o un malintenzionato possono annullare la verifica in due passaggi senza che venga richiesto il codice originario dalle impostazioni di WhatsApp.
Insomma Whatsapp viene di nuovo messa sotto la lente d’ingrandimento ed il suo grado di sicurezza viene ancora una volta criticato.
Un’analisi più approfondita è disponibile sul blog di Andrea Draghetti
Leggi o Aggiungi Commenti