App

Intercettare messaggi WhatsApp e Telegram è fin troppo facile e la colpa è delle segreterie telefoniche (video)

InTheCyber, società milanese di sicurezza informatica, denuncia le vulnerabilità di WhatsApp e Telegram, causate da noncuranza e pessime segreterie telefoniche.
Giuseppe Tripodi
Giuseppe Tripodi Tech Master
Intercettare messaggi WhatsApp e Telegram è fin troppo facile e la colpa è delle segreterie telefoniche (video)

Non è la prima volta che parliamo di problemi di vulnerabilità di WhatsApp e Telegram che non sono direttamente imputabili alle due società: se ben ricordate, alcuni mesi fa, riportavamo la possibilità di sfruttare un exploit del protocollo SS7 per "hackerare" le due app di messaggistica e intercettare i messaggi. Questa volta, invece, il pericolo non risiede in un protocollo ma nella segreteria telefonica ed è un problema talmente banale da essere anche più grave, sotto alcuni punti di vista.

Ad esporre e documentare il problema è stata InTheCyber, agenzia di sicurezza con sede a Milano e Lugano, che ha mostrato in anteprima a DDay e Corriere della Sera come sfruttare la segreteria telefonica degli operatori per riuscire a violare le app di messaggistica.

La vulnerabilità in sé, infatti, non risiede effettivamente nelle chat di WhatsApp e Telegram, quanto nelle segreterie telefoniche dei gestori: in Italia (ma non è difficile immaginare che sia così anche altrove), la sicurezza di questi servizi è bassissima ed interamente basata sul numero di telefono, che grazie ad apposite app è facile da dissimulare.

Insomma, ascoltare la segreteria di un utente conoscendo il relativo numero è fin troppo facile.

Il problema sorge perché sia WhatsApp che Telegram, dopo 2 minuti dall'invio dell'SMS effettuano una chiamata e lasciano il codice d'attivazione dell'account con un messaggio in segreteria telefonica nel caso in cui il numero non sia raggiungibile.

Telegram attivazione codice chiamata

In sostanza, quindi, è sufficiente aspettare che la vittima spenga lo smartphone per poi richiedere l'attivazione di un account basato sul suo numero di telefono, quindi attendere che il servizio lasci un messaggio in segreteria e simulare il numero della vittima per ottenere il codice d'attivazione. Per dovere di cronaca, specifichiamo che in ogni caso non è possibile accedere alle chat criptate (quindi non c'è modo di leggere i messaggi di WhatsApp o quelli delle chat segrete di Telegram, ma i normali messaggi di quest'ultimo sì) ma in entrambi i casi è possibile spacciarsi per la vittima.

La soluzione immediata a questo problema è ovviamente eliminare la segreteria telefonica e, nel caso di Telegram, attivare l'autenticazione in due fattori.

Tuttavia, il team di InTheCyber rimprovera anche la poca attenzione di WhatsApp e Telegram, che non dovrebbero lasciare un dato importante come il codice d'attivazione dell'account nella segreteria telefonica.

InTheCyber ha già contattato gli operatori italiani e i due servizi di messaggistica, ma ha ricevuto risposta solo da WhatsApp, che scarica tutte le colpe sui gestori. Questa vulnerabilità verrà mostrata oggi 24 ottobre a Milano in occasione della 7a Conferenza nazionale sulla Cyber Warfare: se non avrete occasione di andarci, non perdetevi il video di seguito che mostra la facilità di esecuzione di questo "hack" (se così si può chiamare).

Via: Dday
Fonte: Corriere