Spiare WhatsApp e Telegram è facilissimo: falla nel sistema
0
0
È un annuncio che fa tremare i colossi della messaggistica istantanea e milioni di utenti quello fatto da InTheCyber, società milanese – specializzata nella sicurezza offensiva e difensiva informatica – secondo la quale violare un account WhatsApp o Telegram sarebbe una passeggiata.
InTheCyber avrebbe infatti individuato una falla di sicurezza importante che riguarderebbe circa 32milioni di SIM italiane che si concretizza nella facilità di accesso indebito delle segreterie telefoniche di alcuni gestori e alle procedure di autenticazione dei sistemi di messaggistica, incautamente basati su messaggi telefonici vocali. La semplice procedura necessaria per realizzare la violazione è stata presentata in anteprima al Corriere della Sera e sarà raccontata durante la 7° Conferenza sulla Cyber Warfare che si terrà oggi a Milano.
La cosa apparentemente più grave è che, secondo quanto fa sapere la società milanese, per riuscire a violare i sistemi non serve nessuna apparecchiatura sofisticata e bastano competenze tecniche minime: i dettagli tecnici sulla natura della vulnerabilità sono riportati in un’analisi disponibile su DDAY.it., ma praticamente chiunque, un semplice malintenzionato o solo una persona molto curiosa, potrebbe di fatto spiare Whatsapp e Telegram. Libero accesso al testo integrale delle chat di Telegram o ai gruppi di WhastApp sarebbero infatti possibili conoscendo solo il numero di telefono della vittima e niente più.
Sebbene la vulnerabilità di molti sistemi di segreteria telefonica sia cosa nota da tempo, purtroppo non tutti i gestori telefonici hanno reso i propri sistemi sufficientemente sicuri. Questa debolezza aggrava ulteriormente la situazione se combinata con la procedura applicata dai principali sistemi di messaggistica istantanea come WhatsApp e Telegram dove per autenticare i propri utenti tramite Web si utilizza un codice comunicato telefonicamente da una voce sintetizzata. Nel caso in cui il telefono della vittima sia spento la chiamata finisce in segreteria, lasciando il codice di sicurezza all’interno di un ambiente insicuro. Accedere alla segreteria infatti è facilissimo dato che l’accesso ai messaggi registrati da altri telefoni è reso disponibile anche alle altre utenze telefoniche con un Pin di sicurezza che spesso è lasciato a valori pre-impostati e tutti uguali attraverso tecniche cosiddette di «spoofing», cioè di camuffamento del numero di telefono, (cosa facilmente realizzabile anche con Skype), e che alcune segreterie (come quelle di Wind e di 3 Italia) sono accessibili addirittura senza il Pin.
Il problema maggiore, sempre secondo InTheCyber, è che la questione ad ora è fortemente sottovalutata: WhatsApp, informata della vulnerabilità si è dichiarata “non interessata al problema” sostenendo che la responsabilità sarebbe degli operatori telefonici mentre Telegram e i vari gestori non ha nemmeno risposto alla segnalazione della società milanese.
In fondo “si tratta di una vulnerabilità che potrebbe essere facilmente eliminata – sostengono i portavoce della società milanese – se solo i gestori e i fornitori di servizi dessero segni di collaborazione ma – continuano – è una dimostrazione dello stato non ottimale in cui versa attualmente la sicurezza dei sistemi informatici e digitali. Ci vorrebbe una maggiore consapevolezza da parte degli utenti, ma si dovrebbero anche individuare obblighi e responsabilità più chiare per chi progetta e gestisce i prodotti e i servizi connessi, sia a livello pubblico che privato”.
Secondo la InTheCyber, spesso si pensa che gli effetti di attacchi simili non vadano al di là della sfera digitale e che, al limite, possano portare alla perdita di dati, ma le conseguenze della disattenzione sul fronte della cyber sicurezza potrebbero avere conseguenze ben più profonde e afferire anche alla vita reale magari minando la sicurezza fisica delle persone, di enti o di aziende. Una situazione preoccupante insomma, che si fa ancora più critica se si pensa che proprio in queste ore il ministro dell’Interno Alfano ha comunicato che dall’inizio dell’anno sono stati censiti 626 cyber attacchi alle strutture critiche italiane.
(di Annalisa Spinelli)
