È stato pubblicato pochi giorni fa uno studio di ricerca che evidenzia importanti problematiche di privacy nel sistema di messaggistica istantanea Whatsapp.
Indice degli argomenti
La ricerca che ha rilevano la falla databreach WhatsApp
Tra dicembre 2024 e aprile 2025, i ricercatori dell’Università di Vienna hanno orchestrato una campagna di scraping di proporzioni inedite, raccogliendo senza ostacoli i dati di oltre 3,5 miliardi di account.
L’episodio, presentato alla conferenza NDSS 2026, non è solo una nota a margine sulle vulnerabilità dei sistemi di contact discovery, ma un caso studio agghiacciante sulla fragilità di infrastrutture utilizzate da miliardi di persone.
Se un difetto ha permesso di non limitare questo progetto di ricerca, nelle attività di discovery del numero di telefono, quanti altri “esperimenti” possono esser stati fatti prima che tutto questo venisse documentato? Quanti elenchi telefonici che girano attualmente nei meandri del Web (Deep Web e Dark Web compresi), sono stati composti con queste tecniche?
Difficile accertare una risposta a queste domande, ma essendo WhatsApp online da circa 16 anni, può essere facilmente intuibile.
Fuga dati WhatsApp, come è stato possibile?
Il metodo si è basato sullo sfruttamento sistematico e ad alta velocità di un’API pubblica di WhatsApp, la stessa che il client utilizza normalmente per verificare se un numero di telefono è registrato sul servizio.
Attraverso un’operazione di reverse engineering, il team ha sviluppato uno strumento personalizzato, libphonegen, in grado di generare un dataset verosimile di 63 miliardi di numeri di telefono potenziali, coprendo 245 paesi.
Il vero colpo di genio, o forse il dettaglio più inquietante, è stata l’efficienza dell’attacco.
Utilizzando un client modificato di whatsmeow e solamente cinque account autenticati, hanno interrogato i server di Meta da un singolo server universitario, raggiungendo una velocità di picco di 100 milioni di numeri verificati all’ora, ovvero circa 7.000 al secondo, senza mai incorrere in meccanismi di throttling o blocchi.
I risultati di questa mappatura forzata vanno ben oltre una semplice lista di numeri. Il dataset finale includeva non solo gli identificativi telefonici, ma anche avatar pubblici, la stringa di testo dello stato “Info”, e, elemento critico, le chiavi di cifratura utilizzate per la crittografia end-to-end.
L’analisi ha rivelato che a livello globale il 56,7% degli account aveva una foto profilo pubblica, con picchi che toccavano l’80% in alcune nazioni dell’Africa occidentale.
Il 29,3% degli utenti esponeva uno stato testuale, un campo che in molti casi si è rivelato una miniera di informazioni personali, rivelando orientamenti politici, affiliazioni religiose e persino link ad altri profili social.
La scoperta più allarmante dal punto di vista della sicurezza, tuttavia, riguarda l’integrità stessa del protocollo di cifratura.
I ricercatori hanno identificato circa 2,9 milioni di casi di riutilizzo di chiavi pubbliche, un’anomalia che mina i fondamenti della sicurezza end-to-end. In un esempio eclatante, venti numeri telefonici statunitensi condividevano una chiave composta esclusivamente da zeri, un chiaro indizio di un’implementazione crittografica difettosa o malevola, probabilmente riconducibile a client di terze parti non ufficiali.
Il problema è noto dal 2012
Non si tratta di una vulnerabilità sconosciuta. La comunità accademica aveva già segnalato la debolezza intrinseca del meccanismo di contact discovery nel 2012 e nuovamente nel 2021.
Ciò che distingue questo episodio è la scala industriale e la velocità con cui è stato possibile sfruttarla. Nonostante una segnalazione formale attraverso il programma Bug Bounty di Meta nell’aprile 2025, la risposta dell’azienda è arrivata solo a ottobre, con l’implementazione di limitazioni più stringenti.
Problema risolto? I dubbi
Il problema quindi può dirsi corretto da ottobre 2025. La posizione ufficiale di Meta è che i dati esfiltrati fossero già pubblicamente accessibili e che le comunicazioni private siano rimaste al sicuro grazie alla cifratura.
I ricercatori viennesi, tuttavia, la pensano in modo diametralmente opposto. La possibilità, ora dimostrata in pratica, di assemblare un database globale e aggiornato degli utenti, completo di impronte digitali crittografiche, rappresenta un rischio sistemico.
Non è solo una questione di privacy violata, ma di sicurezza compromessa: questa mappa fornisce a potenziali attori malevoli un targeting estremamente preciso e le fondamenta per attacchi più sofisticati.
Quel silenzio dai server di WhatsApp (nessun allarme che scattava nemmeno dopo numerosi tentativi di esfiltrazione), durato mesi, ha parlato più forte di qualsiasi allarme, rivelando la sottile linea rossa che separa una funzionalità di convenienza da un vettore di sorveglianza di massa.
