Blitz quotidiano
powered by aruba

WhatsApp, bug nella sicurezza. Ecco come difendere la privacy

ROMA – Violare un account WhatsApp o Telegram sarebbe un gioco da ragazzi. La vulnerabilità, portata alla luce da ‘InTheCyber‘, società milanese specializzata nella sicurezza offensiva e difensiva informatica, si concretizza grazie alla facilità di accesso alle segreterie telefoniche di alcuni gestori e alle procedure di autenticazione dei sistemi di messaggistica, incautamente basati su messaggi telefonici vocali.

La semplice procedura necessaria per la violazione è stata mostrata in anteprima al Corriere della Sera. Si tratta di una falla di sicurezza importante (secondo i tecnici di InTheCyber riguarderebbe a diverso titolo circa 32 milioni di SIM italiane), bastano competenze tecniche minime.

Malintenzionati o anche solo curiosi possono di fatto avere libero accesso al testo integrale delle chat di Telegram o ai gruppi di WhastApp, conoscendo solo il numero di telefono della vittima e niente più.

La vulnerabilità di molti sistemi di segreteria telefonica è cosa nota da diverso tempo e purtroppo non tutti i gestori telefonici hanno reso i propri sistemi sufficientemente sicuri, visto che l’accesso ai messaggi registrati da altri telefoni è reso disponibile anche alle altre utenze telefoniche con un Pin di sicurezza che spesso è lasciato a valori preimpostati e tutti uguali; ma con tecniche cosiddette di “spoofing“, cioè di camuffamento del numero di telefono chiamate con quello della vittima (cosa facilmente realizzabile anche con Skype), alcune segreterie (in particolare quelle di Wind e di 3 Italia) aprono le proprie porte senza neppure chiedere il Pin.

Questa vulnerabilità diventa esplosiva se collegata alla procedura applicata dai principali sistemi di instant messaging, come Whatsapp e Telegram, per autenticare i propri utenti su Web: la verifica dell’utenza può essere fatta anche con un codice comunicato telefonicamente da una voce sintetizzata. Quando il telefono della vittima è spento, la chiamata finisce in segreteria, portando con sé nell’insicuro contenitore il codice di sicurezza. A questo punto il gioco per chi sferra l’attacco è facile: non resta che accedere alla segreteria e “mettersi in ascolto” su Internet.

Il problema, secondo i tecnici di InTheCyber, al momento è fortemente sottovalutato:

“WhatsApp, da noi informata della vulnerabilità, si è detta semplicemente ‘non interessata al problema’ perché, secondo la società, la responsabilità sarebbe degli operatori telefonici. Telegram invece non ha risposto alla nostra segnalazione, come anche i gestori che abbiamo contattato”.

Una situazione che contrasta con la scritta che campeggia sul sito di WhatsApp: “La privacy e la sicurezza sono nel nostro Dna”.

“Questa vulnerabilità può essere chiusa facilmente con la collaborazione delle telco e dei fornitori di servizi — ci spiega Paolo Lezzi, Ceo e fondatore di InTheCyber — ma è solo la dimostrazione dello stato non ottimale in cui versa la sicurezza dei sistemi informatici e digitali”.