Immaginate di scoprire che qualcuno ha usato il vostro account WhatsApp per chiedere soldi ai vostri contatti, senza che abbiate cliccato su nulla, scaricato nulla, comunicato nessun codice. È esattamente quello che sta succedendo a decine di utenti italiani, e la cosa più inquietante è che nemmeno gli esperti capiscono come avvenga.Il tecnico informatico specializzato in informatica forense Antonio De Bortoli ha pubblicato su LinkedIn le prime conclusioni di un'indagine su più casi di questo tipo, aggiungendo nuovi dettagli a quelli già emersi dal team Forenser. Il quadro che ne esce è preoccupante, e le domande aperte sono più delle risposte. Tecnicamente si tratta di un attacco "zero click": nessun malware da scaricare, nessun link da aprire. Un soggetto terzo riesce a collegarsi all'account WhatsApp della vittima come se fosse il dispositivo principale, una cosa che in teoria non dovrebbe essere possibile. WhatsApp permette di collegare fino a quattro dispositivi secondari a uno smartphone, ma consente una sola sessione principale.Una volta aperto questo canale parallelo, l'intruso accede alle chat più recenti e invia messaggi ai contatti chiedendo piccole somme di denaro. Il tutto senza lasciare tracce visibili: nella sezione "Dispositivi collegati" non compare nulla di sospetto. Come spiega De Bortoli: "Dopo aver aperto una seconda sessione principale, il telefono della vittima viene sottoposto a uno storm di connessioni che circa ogni due secondi sposta il controllo dell'account dal telefono della vittima al dispositivo dell'attaccante".Il risultato pratico è una conversazione parallela totalmente invisibile per la vittima: i messaggi inviati dall'attaccante non compaiono sul telefono di chi è stato compromesso. Nella maggior parte dei casi il campanello d'allarme suona solo quando arrivano risposte strane da amici a cui sono stati chiesti soldi. L'indagine di De Bortoli ha aggiunto dettagli che rendono la situazione ancora più difficile da inquadrare. Un'ipotesi precedente puntava allo sfruttamento di due vulnerabilità note, una su iOS 16 e una su WhatsApp, ma nei casi esaminati da De Bortoli l'attacco riusciva anche con WhatsApp aggiornato all'ultima versione, già corretta.Ancora più preoccupante: almeno uno dei dispositivi compromessi aveva già attivato l'autenticazione a due fattori prima di essere colpito. Questo significa che la misura di sicurezza più raccomandata contro questo tipo di attacchi non è sufficiente, almeno in alcuni casi.Facendo dei test sugli smartphone violati, il team è riuscito a raccogliere alcune informazioni sull'attaccante: emerge l'utilizzo di una VPN localizzata a Hong Kong. Dall'analisi delle risposte automatiche inviate ai contatti è emerso anche che dietro i messaggi non c'è un essere umano, ma un bot piuttosto rudimentale. "Il sistema non riesce a mantenere il contesto e si basa solo su frasi fatte", spiega De Bortoli: se qualcuno risponde fuori dal copione prestabilito, il bot smette di reggere la conversazione. A distanza di settimane dall'inizio delle indagini, né De Bortoli né i ricercatori di Forenser sono riusciti a trovare il vettore d'infezione: nessuna immagine malevola, nessun file sospetto, nessuna traccia sul dispositivo. "Il telefono risulta attualmente pulito", conferma il tecnico. Non sappiamo da dove entra l'attaccante.Le contromisure consigliate, aggiornare WhatsApp e iOS, monitorare i dispositivi collegati e attivare la doppia autenticazione, restano comunque utili ma non risolutive. De Bortoli pone anche una domanda legittima: perché sfruttare una vulnerabilità così sofisticata per mettere in atto truffe così banali? La risposta potrebbe essere che l'accesso silenzioso alle conversazioni sia l'obiettivo reale, e le richieste di denaro solo un effetto collaterale visibile.C'è poi un problema strutturale che rallenta le indagini: "Né Meta né Apple permettono all'utente, o a chi ne fa le veci, di conoscere gli indirizzi IP di provenienza delle connessioni", conclude De Bortoli. "Noi ingegneri e tecnici forensi possiamo analizzare i dati presenti sul dispositivo fisico, ma oltre il telefono non possiamo andare. Spetta dunque a Meta intervenire: in questo momento non sta garantendo la sicurezza della sua architettura".Finché Meta non fornirà dati più trasparenti sulle connessioni e non chiarirà la natura della vulnerabilità, non avremo modo di sapere se qualcuno stia leggendo le nostre chat in questo momento, in silenzio.L'articolo WhatsApp violato senza clic, senza malware e senza tracce: cosa sta succedendo in Italia sembra essere il primo su Smartworld.