Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Bucare Whatsapp e Telegram con la segreteria telefonica
Una semplice tecnica permette di accedere a qualsiasi account. Basta conoscere il numero di telefono della vittima e usare la sua segreteria telefonica.
Per garantire la riservatezza dei messaggi, Telegram e Whatsapp hanno introdotto sistemi di protezione estremamente avanzati, tra cui la crittografia end-to end che cifra i messaggi anche quando transitano sui server degli operatori.
Tutti i sistemi di sicurezza implementati dai due programmi di messaggistica, però, possono essere scardinati da una tecnica di hacking decisamente artigianale, che consente di accedere piuttosto facilmente all’account di un altro utente.
La vulnerabilità è dovuta a una combinazione di fattori legata all’uso dei servizi di messaggistica su altre piattaforme e il sistema di verifica tramite l’invio di codici di verifica via SMS e chiamata vocale.
A spiegare come sia possibile accedere all’account Telegram o Whatsapp di qualcun altro è InTheCyber, una società di sicurezza italiana che proprio oggi rende pubblica la vulnerabilità.
A finire nel mirino sono il sistema di accesso via Web con Telegram e, nel caso di Whatsapp, il cambio di numero telefonico. La verifica dell’identità, in entrambi i casi, viene fatta inviando un codice al numero telefonico con cui è registrato l’account.
Per accedere via Web a Telegram basta inserire il numero di telefono dell’account e un codice ricevuto via SMS. Un metodo pratico e (quasi) sicuro…
Il sistema, a prima vista, sembra essere a prova di bomba: a leggere il codice, infatti, dovrebbe essere solo il legittimo proprietario dello smartphone su cui è installata la SIM.
A guardar bene, però, non è così. Entrambi i sistemi prevedono la possibilità di ricevere il codice, invece che via SMS, tramite una chiamata vocale automatica. Nel caso di Telegram, addirittura, la chiamata parte in automatico se non si inserisce il codice entro due minuti.
Ed ecco dove i ricercatori di InTheCyber hanno trovato la falla. Se un attaccante richiede questo tipo di verifica nel momento in cui il telefono della vittima non è raggiungibile, la chiamata viene registrata sulla segreteria telefonica.
Purtroppo accedere alla segreteria di qualcun altro, nella maggior parte dei casi, è terribilmente facile. La maggior parte di questi servizi, infatti, individuano l’utente attraverso l’identificativo di chiamata, che può essere modificato facilmente attraverso una semplice app.
L’attaccante, quindi, può chiamare il numero collegato al servizio di segreteria fingendo di essere il legittimo utilizzatore del numero e ascoltare tutti i messaggi registrati. Gli operatori, poi, mettono di solito a disposizione un numero di telefono che permette di ascoltare i messaggi da un altro telefono o dall’estero.
Qui le cose sono ancora più facili: alla segreteria si accede con un PIN che gli utenti, nella maggior parte dei casi, non modificano e che viene pubblicato sulle pagine Web di assistenza. Quello predefinito per Vodafone, ad esempio, è “1234”.
L’attaccante, quindi, non dovrebbe fare altro che assicurarsi che il telefono della vittima sia spento (o abbia una chiamata in corso), richiedere il codice, collegarsi alla segreteria telefonica della vittima, annotarsi il codice e infine usarlo per accedere all’account.
Vista dalla prospettiva dei fornitori di servizi, la vulnerabilità potrebbe essere eliminata facilmente sia da parte di Telegram e Whatsapp (eliminando il sistema di comunicazione vocale o impedendo che venga registrato dalla segreteria) sia da parte degli operatori telefonici, introducendo sistemi di verifica più efficaci per l’accesso alla segreteria.
Come in tutte le situazioni in cui sono coinvolti più soggetti, però, il rischio è che si verifichi il classico rimpallo di responsabilità e nulla di tutto questo venga mai fatto.
Vista dalla prospettiva degli utenti, la soluzione più intuitiva è quella di disattivare il servizio di segreteria telefonica.
Per quanto riguarda Telegram, inoltre, è possibile attivare un sistema di verifica in due passaggi, impostando una password che dovrà essere inserita (insieme al codice inviato via SMS) a ogni attivazione del servizio su un nuovo dispositivo.
Condividi l'articolo
New World Hacker: “Ora ci ritiriamo”
Attacco a Internet: New World Hacker rivendica il DDOS di venerdì
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
