Una nuova minaccia digitale chiamata Silent Whisper sta mettendo in discussione la sicurezza di WhatsApp e Signal.
Nel mondo della messaggistica istantanea la parola privacy è diventata quasi un mantra, infatti applicazioni come WhatsApp e Signal vengono spesso percepite come ambienti sicuri, protetti e inattaccabili.
Senza ombra di dubbio, però, la realtà è più complessa. Una nuova vulnerabilità, ribattezzata Silent Whisper, sta facendo emergere crepe inattese proprio nei sistemi che promettono comunicazioni cifrate e riservate.
WhatsApp a rischio con questo nuovo virus
Il dato che colpisce di più è la portata del problema. Si parla di circa tre miliardi di utenti potenzialmente esposti a una forma di tracciamento in tempo reale. Non servono malware complessi o accessi fisici al dispositivo, ma basta un semplice numero di telefono. Da lì, sfruttando questa falla, un attaccante può ricostruire spostamenti, abitudini quotidiane e persino dedurre i ritmi del sonno di una persona. Tutto questo avviene in modo silenzioso, senza notifiche evidenti o avvisi per l’utente.
Silent Whisper colpisce uno degli elementi più comuni delle app di messaggistica, ovvero le conferme di consegna dei messaggi, tecnicamente chiamate delivery receipts. Sono quelle risposte automatiche che indicano se un messaggio è stato recapitato. Un meccanismo pensato per migliorare l’esperienza utente, però può essere sfruttato come canale laterale per raccogliere informazioni. Ed è proprio qui che emergono i limiti delle difese attuali di piattaforme come WhatsApp e Signal.
Il funzionamento dell’attacco è sorprendentemente semplice, ed è questo che preoccupa di più. I ricercatori hanno dimostrato che è possibile inviare messaggi invisibili o particolari interazioni, come reazioni a contenuti che in realtà non esistono più o modifiche già scadute.
Anche se l’utente non vede nulla, l’app risponde comunque. Analizzando il tempo che intercorre tra l’invio e la ricezione della conferma, il cosiddetto RTT o Round Trip Time, si possono ottenere informazioni molto precise.
Da questi tempi di risposta, infatti, è possibile capire se il dispositivo è attivo, se lo schermo è acceso, se la connessione avviene tramite Wi-Fi o rete mobile e, incrociando i dati nel tempo, persino ipotizzare quando una persona dorme o è sveglia. Senza ombra di dubbio, si tratta di una forma di sorveglianza sofisticata, che non richiede competenze tecniche avanzate. La prova di concetto è già pubblica e facilmente replicabile, un dettaglio che rende la minaccia ancora più concreta.
I consigli degli esperti su come difendersi
Ad oggi, però, non esiste una patch ufficiale in grado di risolvere definitivamente il problema. Le aziende coinvolte sono al lavoro, ma nel frattempo gli utenti restano esposti. Questo dimostra come la crittografia end-to-end, pur essendo fondamentale, non protegga da ogni possibile vettore di attacco. Esistono livelli indiretti, spesso sottovalutati, che possono rivelare molto più di quanto si immagini.
In attesa di aggiornamenti risolutivi, è fondamentale adottare alcune precauzioni. Prestare attenzione a un consumo anomalo di batteria o di traffico dati può aiutare a individuare comportamenti sospetti. È altrettanto importante limitare la diffusione pubblica del proprio numero di telefono, evitando di inserirlo su siti o social poco affidabili. Mantenere sempre aggiornate le app di messaggistica, però, resta il primo passo concreto per ridurre il rischio.
Silent Whisper rappresenta un campanello d’allarme per tutto il settore. La sicurezza digitale non è mai definitiva e richiede un equilibrio costante tra funzionalità e protezione. Per gli utenti significa essere più consapevoli, mentre per le piattaforme è un richiamo a rafforzare ogni singolo dettaglio dei propri sistemi. Anche quelli che, fino a ieri, sembravano del tutto innocui.
