Il design del protocollo E2EE di WhatsApp è in grado di rilevare dispositivi secondari collegati allo stesso account

Madrid, 18 gennaio (Portaltic/PE) –

WhatsApp Presenta un problema di progettazione che consente di identificare i dispositivi che un utente ha collegato allo stesso account, come parte di un'architettura multi-dispositivo, il che può portare a problemi di privacy e sicurezza.

Un malintenzionato può ottenere informazioni dai dispositivi utilizzati da un utente WhatsApp perché Progettazione del protocollo di crittografia end-to-end (E2EE) Creato dalla società tecnologica, come ha affermato il ricercatore Tal Be'ery, co-fondatore del portafoglio crittografico ZenGo Il tuo blog è su Medium.

Questo protocollo è stato implementato per la prima volta su WhatsApp nel 2016, per proteggere il contenuto delle conversazioni in modo che solo il mittente e il destinatario possano accedervi. Con l'arrivo del 2021 a Architettura multi-dispositivoche consente di collegare un telefono principale e Fino a quattro dispositivi associatiL’azienda ha adattato il protocollo alla nuova situazione.

Con il protocollo E2EE il dispositivo master crea… Chiave crittografican, non a livello di server, e solo quello Cambia quando l'utente reinstalla l'applicazione Su un nuovo dispositivo senza ricorrere a un backup. In ogni caso si tratta di una chiave visibile al resto dei partecipanti alla conversazione.

Integrando un'architettura multi-dispositivo, anche i dispositivi aggiuntivi devono avere una chiave di crittografia. Invece di condividere lo stesso dispositivo principale, la soluzione di WhatsApp sono stati questi nuovi dispositivi Genera la propria chiave, derivata dalla chiave hardware principale.

Come spiega il ricercatore, il tasto principale del cellulare comprende il telefono e termina con il suffisso '.0', mentre i dispositivi associati aggiungono prima del suffisso un numero che li identifica. Queste informazioni, oltre ad apparire in una conversazione con il destinatario, possono Deduci se il tuo interlocutore sta utilizzando il dispositivo primario o un dispositivo secondarioe può essere visualizzato anche dagli strumenti per sviluppatori nel browser.

Queste informazioni, nelle mani di un malintenzionato, potrebbero portare a… Attacchi mirati al dispositivo secondario, Di solito è considerato un obiettivo meno costoso, sottolinea Tal Perry.

E anche per Crea exploit personalizzati Vengono inviati al primario tramite messaggi non visibili al browser o al dispositivo secondario. Può anche essere motivante Tracciamento degli utentiPerché ti permette di sapere se hai acquistato un nuovo cellulare o se utilizzerai la piattaforma dal tuo computer.

Il ricercatore ha deciso di condividere questa ricerca dopo aver informato WhatsApp all'inizio di gennaio come parte di un programma di ricompensa, che l'azienda ha rifiutato non perché fosse una falla di sicurezza ma un problema di progettazione.

Nella email inviata a Tel Be'eri, l'azienda precisa che un grande cambiamento può verificarsi “per vari motivi” e che un grande cambiamento Non deve essere sempre così perché l'utente cambia dispositivopoiché potresti aver reinstallato l'”app” su di esso.

Indica inoltre che la modifica della password può consentire all'utente di farlo Renditi conto che non stai più parlando con la stessa personaCiò rende la notifica della chiave E2EE una misura di sicurezza separata dalla crittografia.