martedì 25 ottobre 2016

Il «baco» di WhatsApp e Telegram «Spiarli è un gioco da ragazzi»

Corriere della sera
i Gianfranco Giardina

Una società milanese trova e denuncia una falla nel sistema (grazie alla facilità di accesso indebito delle segreterie telefoniche di alcuni gestori ): abbiamo assistito alla prova

L’annuncio è tale da far tremare i polsi: violare un account WhatsApp o Telegram sarebbe un gioco da ragazzi. La vulnerabilità, portata alla luce da InTheCyber, società milanese specializzata nella sicurezza offensiva e difensiva informatica, si concretizza grazie alla facilità di accesso indebito delle segreterie telefoniche di alcuni gestori e alle procedure di autenticazione dei sistemi di messaggistica, incautamente basati su messaggi telefonici vocali. La semplice procedura necessaria per la violazione è stata mostrata in anteprima al Corriere della Sera e verrà presentata domani, lunedì 24 ottobre, durante la 7° Conferenza sulla Cyber Warfare a Milano.

Si tratta di una falla di sicurezza importante (secondo i tecnici di InTheCyber riguarderebbe a diverso titolo circa 32 milioni di SIM italiane), anche in considerazione del fatto che per sfruttarla non serve alcun basista all’interno delle telco, nessuna apparecchiatura sofisticata e bastano competenze tecniche minime. Malintenzionati o anche solo curiosi possono di fatto avere libero accesso al testo integrale delle chat di Telegram o ai gruppi di WhastApp, conoscendo solo il numero di telefono della vittima e niente più: i dettagli tecnici sulla natura della vulnerabilità sono riportati nell’approfondimento di DDAY.it. Malintenzionati o anche solo curiosi possono di fatto avere libero accesso al testo integrale delle chat di Telegram o ai gruppi di WhastApp, conoscendo solo il numero di telefono della vittima e niente più.

La vulnerabilità di molti sistemi di segreteria telefonica è cosa nota da diverso tempo e purtroppo non tutti i gestori telefonici hanno reso i propri sistemi sufficientemente sicuri, visto che l’accesso ai messaggi registrati da altri telefoni è reso disponibile anche alle altre utenze telefoniche con un Pin di sicurezza che spesso è lasciato a valori preimpostati e tutti uguali; ma con tecniche cosiddette di «spoofing», cioè di camuffamento del numero di telefono chiamate con quello della vittima (cosa facilmente realizzabile anche con Skype), alcune segreterie (in particolare quelle di Wind e di 3 Italia) aprono le proprie porte senza neppure chiedere il Pin.

Questa vulnerabilità, già di per sé odiosa, diventa esplosiva se collegata alla procedura applicata dai principali sistemi di instant messaging, come Whatsapp e Telegram, per autenticare i propri utenti su Web: la verifica dell’utenza può essere fatta anche con un codice comunicato telefonicamente da una voce sintetizzata. Quando il telefono della vittima è spento, la chiamata finisce in segreteria, portando con sé nell’insicuro contenitore il codice di sicurezza. A questo punto il gioco per chi sferra l’attacco è facile: non resta che accedere alla segreteria e “mettersi in ascolto” su Internet.

Il problema, secondo i tecnici di InTheCyber, al momento è fortemente sottovalutato: «WhatsApp, da noi informata della vulnerabilità, si è detta semplicemente “non interessata al problema” perché, secondo la società, la responsabilità sarebbe degli operatori telefonici. Telegram invece non ha risposto alla nostra segnalazione, come anche i gestori che abbiamo contattato». Una situazione che contrasta con la scritta che campeggia sul sito di WhatsApp: «La privacy e la sicurezza sono nel nostro Dna».

«Questa vulnerabilità può essere chiusa facilmente con la collaborazione delle telco e dei fornitori di servizi — ci spiega Paolo Lezzi, Ceo e fondatore di InTheCyber — ma è solo la dimostrazione dello stato non ottimale in cui versa la sicurezza dei sistemi informatici e digitali». La diffusione sempre più capillare dell’Internet degli Oggetti e della iper-connessione richiede una maggiore consapevolezza da parte degli utenti «ma soprattutto ci vorrebbero — prosegue Lezzi — obblighi e responsabilità chiare per chi progetta e gestisce i prodotti e i servizi connessi, sia a livello pubblico che privato».

Spesso si pensa che gli effetti di un attacco restino confinati alla sfera digitale e che possano comportare, come massimo rischio, la cancellazione dei dati; ma le conseguenze di un atteggiamento disattento sul fronte della cyber sicurezza possono finire per riguardare anche la sfera fisica. «Una vulnerabilità banale come questa da noi dimostrata può mettere a repentaglio la sicurezza delle persone, a cascata anche quella dell’ente o azienda per cui lavorano e, in caso di utilizzi estremamente malevoli, del Paese intero». La notizia arriva nel giorno in cui il ministro dell’Interno Alfano ha comunicato che dall’inizio dell’anno sono stati censiti 626 cyber attacchi alle strutture critiche italiane. Qualcosa di più di un campanello di allarme.