CatchApp, l’app che spia WhatsApp: pericolo o bufala?
“I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end”, WhatsApp ci rassicura: le nostre conversazioni sono criptate e nessuno potrà leggerle illecitamente.
Troppo bello per esser vero, arriva infatti da Israele una presunta minaccia alla sicurezza dell’app di messaggistica più famosa al mondo.
Il suo nome è CatchApp ed è stata sviluppata da Wintego, azienda israeliana specializzata in data-decoding.
Si tratta di una nuova applicazione che viene dichiarata in grado di “spiare” le chat WhatsApp sullo smartphone mirato, nonostante la crittazione.
Durante lo scorso aprile infatti il team di WhatsApp ha ultimato l’introduzione della crittografia end-to-end per tutte le comunicazioni possibili attraverso la piattaforma: messaggi, foto, video, registrazioni vocali, documenti e chiamate.
Ogni singolo messaggio o contenuto inviato è protetto con un lucchetto, la cui speciale chiave è in possesso solo del mittente e del destinatario – almeno in teoria!
CatchApp promette di essere in grado di bypassare il codice di crittografia di WhatsApp e rubare tutte le informazioni relative all’account tra cui chat integrali, la lista dei contatti e i media scambiati.
E’ possibile tutto questo? Come dovrebbe funzionare?
Innanzitutto è importante sottolineare che tutte le informazioni riguardanti CatchApp provengono da opuscoli prodotti dalla stessa Wintego, nessuna dimostrazione pratica è ancora stata effettuata o almeno diffusa.
L’app non funziona da sola ma si appoggia a WINT, ovvero un dispositivo che deve trovarsi in prossimità della vittima e del suo smartphone – ad esempio posizionato all’interno di uno zaino che chi vuole scagliare l’attacco dovrà indossare.
WINT tenta di intercettare le comunicazioni Wi-Fi del device target con lo scopo di acquisire le credenziali di accesso; in qualche modo il dispositivo sarebbe a questo punto in grado di scaricare silenziosamente tutti i dati memorizzati dell’account colpito.
Molti esperti si dichiarano scettici, le misure di crittografia adottate da WhatsApp sono sempre più potenti, risulta dunque azzardato pensare che tecniche come quelle utilizzate da WINT e CatchApp siano effettivamente in grado di bypassarle.
E’ comunque importante e interessante analizzare il caso per individuare le effettive potenzialità di strumenti simili. A tale scopo iniziano a circolare sul web opinioni e ipotesi su quali possano essere nel dettaglio i meccanismi utilizzati da CatchApp.
Diverse le linee di pensiero, secondo una delle più accreditate l’app tenta di aprirsi un varco d’ingresso causato da alcune vulnerabilità della crittografia Secure Sockets Layer – SLL – utilizzata da Whatsapp, si tratta del protocollo crittografico che permette la sicurezza della comunicazione tra sorgente e destinatario, “end-to-end”.
CatchApp potrebbe inoltre essere un vero e proprio malware che viene installato tramite un collegamento Wi-Fi malevolo; in ogni caso è bene prendere tutto questo con molta cautela.
Non sarebbe la prima volta che società israeliane dichiarano falsi risultati : solo pochi mesi fa la società Ability ha sviluppato un software affermando che fosse in grado di tracciare chiamate, messaggi e posizione di ogni singolo telefono cellullare sulla Terra.
Come si può immaginare si trattava di una bufala; CatchApp si rivelerà altrettanto innocua o ci riserverà delle sorprese? Stay tuned!
