WhatsApp, panico tra gli utenti. La scoperta ora preoccupa tutti. “Basta fare così e leggerete le chat dei vostri amici”. Ed è tutto dimostrato in un video. Monta la polemica e l’azienda non risponde. Cosa sta succedendo…


 

L’annuncio è tale da far tremare i polsi: violare un account WhatsApp o Telegram sarebbe un gioco da ragazzi. La vulnerabilità, portata alla luce da ‘InTheCyber’, società milanese specializzata nella sicurezza offensiva e difensiva informatica, si concretizza grazie alla facilità di accesso alle segreterie telefoniche di alcuni gestori e alle procedure di autenticazione dei sistemi di messaggistica, incautamente basati su messaggi telefonici vocali. La semplice procedura necessaria per la violazione è stata mostrata in anteprima al Corriere della Sera. Si tratta di una falla di sicurezza importante (secondo i tecnici di InTheCyber riguarderebbe a diverso titolo circa 32 milioni di SIM italiane), bastano competenze tecniche minime. Malintenzionati o anche solo curiosi possono di fatto avere libero accesso al testo integrale delle chat di Telegram o ai gruppi di WhastApp, conoscendo solo il numero di telefono della vittima e niente più.

(Continua a leggere dopo la foto)







La vulnerabilità di molti sistemi di segreteria telefonica è cosa nota da diverso tempo e purtroppo non tutti i gestori telefonici hanno reso i propri sistemi sufficientemente sicuri, visto che l’accesso ai messaggi registrati da altri telefoni è reso disponibile anche alle altre utenze telefoniche con un Pin di sicurezza che spesso è lasciato a valori preimpostati e tutti uguali; ma con tecniche cosiddette di «spoofing», cioè di camuffamento del numero di telefono chiamate con quello della vittima (cosa facilmente realizzabile anche con Skype), alcune segreterie (in particolare quelle di Wind e di 3 Italia) aprono le proprie porte senza neppure chiedere il Pin. Questa vulnerabilità, già di per sé odiosa, diventa esplosiva se collegata alla procedura applicata dai principali sistemi di instant messaging, come Whatsapp e Telegram, per autenticare i propri utenti su Web: la verifica dell’utenza può essere fatta anche con un codice comunicato telefonicamente da una voce sintetizzata. Quando il telefono della vittima è spento, la chiamata finisce in segreteria, portando con sé nell’insicuro contenitore il codice di sicurezza. A questo punto il gioco per chi sferra l’attacco è facile: non resta che accedere alla segreteria e “mettersi in ascolto” su Internet.

(Continua a leggere dopo il video)

 

 

Il problema, secondo i tecnici di InTheCyber, al momento è fortemente sottovalutato: “WhatsApp, da noi informata della vulnerabilità, si è detta semplicemente ‘non interessata al problema’ perché, secondo la società, la responsabilità sarebbe degli operatori telefonici. Telegram invece non ha risposto alla nostra segnalazione, come anche i gestori che abbiamo contattato”. Una situazione che contrasta con la scritta che campeggia sul sito di WhatsApp: “La privacy e la sicurezza sono nel nostro Dna”. 

“Questa vulnerabilità può essere chiusa facilmente con la collaborazione delle telco e dei fornitori di servizi — ci spiega Paolo Lezzi, Ceo e fondatore di InTheCyber — ma è solo la dimostrazione dello stato non ottimale in cui versa la sicurezza dei sistemi informatici e digitali”. 

 

Ti potrebbe interessare anche: “Noooo!” Whatsapp, quante volte lo abbiamo esclamato dopo aver mandato un messaggio al contatto sbagliato? Troppe, ma da oggi c’è la soluzione: ecco come bloccare l’invio

 

Se avete correzioni, suggerimenti o commenti scrivete a redazione@caffeinamagazine.it