Utilizziamo i cookie per personalizzare i contenuti e gli annunci, fornire le funzioni dei social media e analizzare il nostro traffico. Inoltre forniamo informazioni sul modo in cui utilizzi il nostro sito ai nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che hai fornito loro o che hanno raccolto in base al tuo utilizzo dei loro servizi.

Da diversi mesi leggiamo un messaggio, tra le nostre conversazioni, su whatsapp che ci informa che la conversazione è protetta tramite cifratura end-to-end.

Questo significa che siamo al sicuro che nessuno è in grado di leggere i messaggi che inviamo ad amici, parenti e conoscenti. Questo per lo meno in teoria. La realtà è ben diversa.

Ma da cosa ci protegge la cifratura end-to-end?

Le precedenti versioni di whatsapp inviavano via internet i pacchetti dati, contenti le conversazioni, in chiaro. Se ci colleghiamo ad internet tramite hotspot Wi-Fi pubblico, potrebbe succedere che qualche male intenzionato usi una tecnica, chiamata sniffing, per catturare i pacchetti che viaggiano per quella rete. Utilizzando appositi filtri, catturare solo quelli che riguardano le conversazioni whatsapp che, se non cifrate, possono essere tranquillamente lette. Un hacker più bravo potrebbe addirittura riuscire sniffare i pacchetti che passano tramite un server provider.

La cifratura end-to-end in realtà ci protegge dallo sniffing, ma esistono altri sistemi per spiare le conversazioni su whatsapp.

Una falla nella sicurezza su Whatsap, ma anche su Telegram, l'ha scoperta un azienda milanese, specializzata in sicurezza informatica, chiamata InTheCyber.

I professionisti della società hanno scoperto una vulnerabilità che permette ad un male intenzionato di accreditarsi su Whatsapp e Telegram conoscendo semplicemente il numero di telefono della vittima. La tecnica sfrutta una falla nei sistemi di autenticazione delle segreterie telefoniche.

Prima di spiegare la tecnica, cerchiamo di capire come funziona l'autenticazione su whatsapp.

Quando installiamo l'applicazione, whatsapp associa il dispositivo ad un numero di telefono e per farlo invia un codice tramite sms o tramite chiamata vocale, che dovrà essere inserito nell'apposito campo per il riconoscimento.

Se si dovesse scegliere come tecnica di autenticazione la chiamata vocale, nel caso un cui il cellulare dovesse essere spento e la segreteria telefonica abilitata, il messaggio vocale con il codice di accesso viene lasciato in segreteria.

Se la segreteria viene ascoltata dal legittimo proprietario non c'è nessun problema. Il problema sussiste quando una terza persona riesce ad ottenere l'accesso alla segreteria. Vediamo come avviene.

Molti operatori telefonici consento l'ascolto della segretaria da un altro telefono, chiamando un apposito numero e inserendo un codice. In molti casi il codice e standard e la modifica è a cura dell'utente. 

A questo punto entra in gioco il nostro spione. Una volta che si è assicurato che le vittima ha il telefono spento (la maggior parte delle persone di notte lo spegne il cellulare) e la segreteria abilitata, installa whatsapp sul proprio cellulare con il numero della vittima, sceglie come modalità di autenticazione la chiamata vocale, quindi, sfruttando il servizio fornito dall'operatore telefonico di accesso alla segreteria, se la vittima (come molte persone lo fanno) non ha cambiato il codice standard di accesso, potrà ascoltarsi il messaggio e inserire il codice di autenticazione su Whatsapp.

Da quel momento potrà accedere e salvarsi tutte le conversazioni del malcapitato.

Naturalmente quando la vittima accenderà il telefono e vorrà accedere a whatsapp, apparirà il messaggio "impossibile verificare questo telefono. Probabilmente hai registrato il tuo numero di telefono su whatsapp da una altro telefono diverso". Sarà sufficiente eseguire la verifica per riattivare l'app. Ma ormai il danno è fatto.

Sia whatsapp e telegram sono stati informati del problema, ma, secondo loro, non è un problema che li riguarda, perché non è una falla del loro applicativo, ma degli operatori telefonici.

Purtroppo il problema è tutt'ora sottovalutato. La segreteria telefonica, di solito, è attiva di default e molte persone la usano solo come un optional senza preoccuparsi di modificare il codice di autenticazione.

D'altra parte non servono nemmeno particolari conoscenze o competenze tecniche per sfruttare questa tecnica, lo può fare chiunque.

Come difendersi?

Il modo per mettersi al riparo da questa minaccia è molto semplice. Se usiamo la segreteria telefonica, la prima cosa da fare è modificare il codice di accesso, informandosi sulla procedura tramite l'operatore telefonico.

Se non usiamo la segreteria, tanto vale disattivarla. Basta chiamare il nostro gestore e chiedere la cessazione del servizio di casella vocale. In molti casi è possibile farlo inserendo un codice predefinito nel telefono.



Questi sono i codici di disattivazione della segreteria e il numero del servizio clienti dei principali operatori:

operatore

codice di disattivazione della segrateria 

servizio clienti
Vodafone ##002# 190
Wind ##21**13# 155
Tre ##21**11# 139
Tim ##002# 187

Potrebbe interessarti anche:

 

Aggiungi commento


Codice di sicurezza
Aggiorna