Whatsapp e Telegram, bucati via segreteria telefonica degli operatori

AutenticazioneSicurezza
Whatsapp e Telegram, bucati via segreteria telefonica degli operatori
6 1 Non ci sono commenti

La società di sicurezza InTheCyber ha mostrato come bucare Whatsapp e Telegram, sfruttando la debolezza delle segreterie telefoniche insieme alle procedure vocali di autenticazione dei servizi di chat. Come rendere inespugnabili le apps di messaggistica

Crolla il mito della sicurezza di Whatsapp e Telegram, le app di messaggistica che utilizzano la crittografia en-to-end. La società di sicurezza InTheCyber ha mostrato come bucarli, sfruttando la debolezza delle segreterie telefoniche insieme alle procedure vocali di autenticazione dei servizi di chat. Per molti operatori telefonici italiani la segreteria telefonica dei clienti rappresenta una porta spalancata a malintenzionati.

Whatsapp e Telegram, bucati via segreteria telefonica degli operatori
Whatsapp e Telegram, bucati via segreteria telefonica degli operatori

InTheCyber, agenzia di sicurezza con sedi a Milano e Lugano, ha scoperto la falla, illustrata alla 7a Conferenza nazionale sulla Cyber Warfare. La responsabilità ricade tutta sugli operatori, dal momento che la crittografia end-to-end è inespugnabile, ma la debolezza risiede nel sistema di autenticazione via numero di telefono.

Se l’utente è al telefono o ha il cellulare spento, il codice di verifica chiesto per autenticarsi su Web ai servizi chat, può essere spedito via SMS o mediante chiamata vocale: in questo caso, il codice viene lasciato in segreteria telefonica, accessibile a chiunque.

Secondo gli esperti di sicurezza, in Italia sono 32 milioni i numeri a rischio, con le utenze Wind e H3G in pole position: sul sito di Wind si legge che per ascoltare i messaggi di un numero basta chiamare il “+39 323 205 4200” e inserire come codice 2121 oppure 1111 se l’abbonamento o la ricaricabile sono stati attivati dopo il 14 giugno 2004.

Ma per entrare nelle segreterie altrui, è sufficiente emulare l’identificativo di chiamata con una delle tante app per iOS e Android: non servono codici, basta digitare il numero di telefono dichiarato dal terminale per autenticare l’utente, invece di inserire il seriale della SIM (numero ben più sicuro).

Per evitare questo attacco, è necessario disattivare la segreteria telefonica. Anche impostare un codice personalizzato potrebbe non essere sufficiente. In ogni caso, consigliamo di attivare l’autenticazione a due fattori per le app come Telegram che dispongono di questa funzionalità. Invece il sistema di autenticazione tramite sintesi vocale di Whatsapp è a rischio spoofing: l’applicazione dovrebbe rinunciarvi.

L’hacker tedesco Karsten Nohl aveva scoperto la falla nel cosiddetto Signalling System No. 7, abbreviato in SS7, un sistema che connette tra loro tutte le reti mobili del mondo, già nel 2014: si tratta di un aattacco Man-In-The-Middle.

Whitepaper – Sei interessato ad approfondire l’argomento? Scarica il whitepaper: Un sistema immunitario attivo contro le minacce avanzate

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore