WhatsApp, l’app di messaggistica usata da miliardi di persone, ha un problema di privacy: il suo sistema di crittografia multi-dispositivo lascia trapelare informazioni sul tuo dispositivo, come il sistema operativo (Android o iOS). Questo permette ad attaccanti di identificare il tuo device senza che tu lo sappia, per inviare malware su misura.
Soluzione rapida: Limita i dispositivi collegati al tuo account WhatsApp, controlla regolarmente l’attività nelle impostazioni e usa solo l’app ufficiale. Evita di collegare troppi device per ridurre i rischi immediati.
Queste falle di sicurezza non compromettono i messaggi crittografati end-to-end, ma espongono metadati cruciali che gli hacker usano per pianificare attacchi precisi. Con oltre 3 miliardi di utenti attivi mensili, WhatsApp è un target ideale per minacce avanzate. Vediamo come funziona e cosa sta cambiando.
Come nascono queste vulnerabilità
Nel funzionamento multi-dispositivo, ogni device collegato (smartphone, tablet, PC) crea una sessione di crittografia separata con chi invia i messaggi. Invece di chiavi generate sui server, ogni device produce chiavi uniche localmente. Questa architettura, basata sul protocollo Signal, è pensata per la privacy, ma differenze nell’implementazione tradiscono dettagli sul device.
Ad esempio, gli identificativi delle chiavi di crittografia – come il Signed Pre-Key (Signed PK) e l’One-Time Pre-Key (OTPK) – variano tra Android e iOS. Su Android, questi ID partono da zero e incrementano lentamente, mentre su iOS seguono pattern diversi, spesso casuali o con incrementi rapidi. Gli attaccanti interrogano i server WhatsApp per ottenere queste chiavi, senza generare notifiche all’utente, fingerprintando il sistema operativo in modo passivo.
Questo reconnaissance è vitale nella catena di attacco cyber: sapere se il target usa Android o iOS evita di inviare exploit incompatibili, che potrebbero fallire o allertare la vittima. Immagina un malware Android spedito a un iPhone: non solo inutile, ma rischioso per l’attaccante, che potrebbe esporre la sua infrastruttura costosa.
Evoluzione delle scoperte e fix di Meta
Ricerca del 2024 ha rivelato che le sessioni per device leakano conteggio, tipi e identità dei dispositivi. Nel 2025, studi approfonditi hanno dettagliato il fingerprinting OS: tool personalizzati confermano che chainando queste info, si può rilevare l’OS e consegnare payload specifici senza detection.
Meta ha reagito con un fix silenzioso: ora gli ID Signed PK su Android sono randomizzati su un range a 24 bit, invece di incrementare da zero mensilmente. Questo cambiamento, rilevato tramite monitoring tools, segna un’inversione rispetto alla posizione precedente di Meta, che lo considerava non sfruttabile.
Tuttavia, il fix è parziale. Gli OTPK restano distinguibili: iOS inizia con valori bassi e incrementa ogni pochi giorni, contro la randomizzazione piena di Android. Tool adattati post-fix identificano ancora l’OS con alta accuratezza, permettendo ad APT (minacce persistenti avanzate) di usare WhatsApp come vettore per spyware, come nei casi Paragon.
Critiche puntano alla mancanza di trasparenza: nessun avviso ai ricercatori, nessun bounty o CVE assegnato. I CVE documentano vulnerabilità con score CVSS, facilitando il tracking comunitario, senza stigma. Un problema simile aveva portato a un bounty senza CVE, ma qui l’omissione ostacola la collaborazione.
Impatti reali e rischi per gli utenti
Queste leak non sono teoriche. Ricerche hanno enumerato miliardi di account WhatsApp tramite meccanismi di contact discovery abusati, confermando oltre 3,5 miliardi di utenti attivi in 245 paesi. Query massive (oltre 100 milioni di numeri all’ora) raccoglievano phone numbers, chiavi pubbliche, timestamp, foto profilo e testi About pubblici.
Da questi metadati, si inferiscono OS del device, età account, numero di device linked (es. WhatsApp Web). Quasi metà dei numeri dal leak Facebook 2021 (500 milioni) resta attiva su WhatsApp, esponendoli a scam e targeting. Casi rari di chiavi crittografiche riutilizzate indicano client non ufficiali o frodi.
Malware self-propagating usa WhatsApp per diffondersi: rileva WhatsApp Web, invia messaggi e ZIP malevoli via automazione (Selenium, wppconnect.js). Questo abilita spreading automatico e social engineering su scala.
Per gli utenti everyday, il consiglio è monitorare device linked nelle impostazioni WhatsApp, revocare accessi sospetti e limitare a 1-2 device. Disattiva contact discovery se possibile, e usa VPN per mascherare IP durante uso intensivo.
Mentre Meta evolve i fix, una randomizzazione completa cross-platform e maggiore trasparenza (CVE, notifiche) proteggereebbe meglio miliardi di utenti, favorendo collaborazione security community.
Approfondimento tecnico
Technical Deep Dive
Il protocollo multi-device di WhatsApp deriva da Signal, con sessioni Double Ratchet per E2EE. Ogni device linked genera:
– Signed Pre-Key (SPK): Firma identità chiave, ID incrementale su Android (pre-fix: 0++ mensile), ora random 24-bit.
– One-Time Pre-Key (OTPK): Pool di 100 chiavi usa-e-getta; iOS inizia low (es. 1-100), incrementa ~ogni 3 giorni; Android full random 0-16M.
Attack flow:
- Attaccante query server per init session con target phone.
- Server restituisce public keys bundle: SPK ID, OTPK ID, timestamps.
- Analisi pattern:
| Parametro | Android (pre-fix) | Android (post-fix) | iOS |
|———–|——————-|——————–|—–|
| SPK ID | 0 → lento ++ | Random 0-16M | Alto/random |
| OTPK ID | Random full | Random full | Low → ++ ogni 3gg |
Accuracy post-fix: >95% via OTPK + timestamps (età sessioni leak device count).
Tool custom: Python scripts query API WhatsApp, parse Noise Protocol frames per key IDs. Esempio pseudocodigo:
`python
import requests
def fingerprint_os(phone):
resp = requests.post(‘https://web.whatsapp.com/api/init’, json={‘phone’: phone})
keys = parse_keys(resp.json()[‘keys’])
if keys[‘otpkid’] < 1000 and isincremental(keys[‘timestamps’]):
return ‘iOS’
return ‘Android’`
Per enumeration contact discovery: no rate-limit efficace fino fix recenti; 100M+ queries/ora possibile, leak 3.5B accounts. Remediation: rate-limiting dinamico + CAPTCHA-like per IP sospetti.
Metriche risk: CVSS-like base score 7.5 (confidentiality high, no auth, network attack). Impatta APT: Paragon usava simile per zero-click iOS/Android.
Per dev/security pros: monitora changelogs WhatsApp beta, testa con Signal fork. Randomizza sempre key IDs in protocolli custom. Contribuisci bug bounties Meta per full fix.
Queste insights avanzate aiutano a comprendere perché E2EE alone non basta: metadata è il nuovo fronte privacy.
