Oggi WhatsApp ha annunciato l’introduzione di diverse nuove funzionalità di sicurezza, tra cui una chiamata “Device Verification”, progettata per offrire una migliore protezione contro gli attacchi di furto di account (ATO).
La verifica del dispositivo per proteggere gli utenti
La funzione Device Verification impedisce ai malware di utilizzare chiavi di autenticazione rubate da dispositivi mobili infetti o tramite client non ufficiali per impersonare account e inviare messaggi di truffa e phishing ai contatti degli utenti bersaglio. La verifica del dispositivo bloccherà automaticamente i tentativi di dirottamento dell’account da parte degli aggressori attraverso controlli invisibili sul back-end, utilizzando tre nuovi parametri: un token di sicurezza memorizzato sul dispositivo, un nonce utilizzato per identificare se il client si sta connettendo per recuperare un messaggio dai server di WhatsApp e una sfida di autenticazione che invierà un ping in modo asincrono al dispositivo dell’utente.
Altre nuove funzionalità di sicurezza
WhatsApp ha annunciato altre due funzionalità di sicurezza progettate per avvisare gli utenti quando i loro account vengono spostati su altri dispositivi e per verificare automaticamente i codici di sicurezza per confermare connessioni sicure al server.
“Account Protect” fungerà da doppio controllo o verifica di sicurezza aggiuntiva quando gli account WhatsApp vengono collegati a nuovi dispositivi e ti avviserà in caso di tentativi non autorizzati di trasferimento dell’account.
“Automatic Security Codes” è una nuova funzione di sicurezza crittografica che utilizza la trasparenza delle chiavi e l’Auditable Key Directory (AKD) per consentire ai client WhatsApp di convalidare automaticamente le chiavi di crittografia degli utenti e verificare se la crittografia end-to-end è abilitata.