Aggiornamenti recenti Maggio 2nd, 2024 2:55 PM
Ott 24, 2016 Marco Schiaffino In evidenza, News, Privacy, Vulnerabilità 0
Per garantire la riservatezza dei messaggi, Telegram e Whatsapp hanno introdotto sistemi di protezione estremamente avanzati, tra cui la crittografia end-to end che cifra i messaggi anche quando transitano sui server degli operatori.
Tutti i sistemi di sicurezza implementati dai due programmi di messaggistica, però, possono essere scardinati da una tecnica di hacking decisamente artigianale, che consente di accedere piuttosto facilmente all’account di un altro utente.
La vulnerabilità è dovuta a una combinazione di fattori legata all’uso dei servizi di messaggistica su altre piattaforme e il sistema di verifica tramite l’invio di codici di verifica via SMS e chiamata vocale.
A spiegare come sia possibile accedere all’account Telegram o Whatsapp di qualcun altro è InTheCyber, una società di sicurezza italiana che proprio oggi rende pubblica la vulnerabilità.
A finire nel mirino sono il sistema di accesso via Web con Telegram e, nel caso di Whatsapp, il cambio di numero telefonico. La verifica dell’identità, in entrambi i casi, viene fatta inviando un codice al numero telefonico con cui è registrato l’account.
Il sistema, a prima vista, sembra essere a prova di bomba: a leggere il codice, infatti, dovrebbe essere solo il legittimo proprietario dello smartphone su cui è installata la SIM.
A guardar bene, però, non è così. Entrambi i sistemi prevedono la possibilità di ricevere il codice, invece che via SMS, tramite una chiamata vocale automatica. Nel caso di Telegram, addirittura, la chiamata parte in automatico se non si inserisce il codice entro due minuti.
Ed ecco dove i ricercatori di InTheCyber hanno trovato la falla. Se un attaccante richiede questo tipo di verifica nel momento in cui il telefono della vittima non è raggiungibile, la chiamata viene registrata sulla segreteria telefonica.
Purtroppo accedere alla segreteria di qualcun altro, nella maggior parte dei casi, è terribilmente facile. La maggior parte di questi servizi, infatti, individuano l’utente attraverso l’identificativo di chiamata, che può essere modificato facilmente attraverso una semplice app.
L’attaccante, quindi, può chiamare il numero collegato al servizio di segreteria fingendo di essere il legittimo utilizzatore del numero e ascoltare tutti i messaggi registrati. Gli operatori, poi, mettono di solito a disposizione un numero di telefono che permette di ascoltare i messaggi da un altro telefono o dall’estero.
Qui le cose sono ancora più facili: alla segreteria si accede con un PIN che gli utenti, nella maggior parte dei casi, non modificano e che viene pubblicato sulle pagine Web di assistenza. Quello predefinito per Vodafone, ad esempio, è “1234”.
L’attaccante, quindi, non dovrebbe fare altro che assicurarsi che il telefono della vittima sia spento (o abbia una chiamata in corso), richiedere il codice, collegarsi alla segreteria telefonica della vittima, annotarsi il codice e infine usarlo per accedere all’account.
Vista dalla prospettiva dei fornitori di servizi, la vulnerabilità potrebbe essere eliminata facilmente sia da parte di Telegram e Whatsapp (eliminando il sistema di comunicazione vocale o impedendo che venga registrato dalla segreteria) sia da parte degli operatori telefonici, introducendo sistemi di verifica più efficaci per l’accesso alla segreteria.
Come in tutte le situazioni in cui sono coinvolti più soggetti, però, il rischio è che si verifichi il classico rimpallo di responsabilità e nulla di tutto questo venga mai fatto.
Vista dalla prospettiva degli utenti, la soluzione più intuitiva è quella di disattivare il servizio di segreteria telefonica.
Per quanto riguarda Telegram, inoltre, è possibile attivare un sistema di verifica in due passaggi, impostando una password che dovrà essere inserita (insieme al codice inviato via SMS) a ogni attivazione del servizio su un nuovo dispositivo.
Giu 26, 2023 0
Dic 19, 2022 0
Dic 13, 2022 0
Set 16, 2022 0
Mag 02, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...