WhatsApp e Telegram (e probabilmente non solo) risultano più semplici da violare rispetto a quanto si pensi: una società milanese, InTheCyber, ha trovato e denunciato una grave falla nei sistemi legata alle segreterie telefoniche che permette ad un malintenzionato neanche troppo esperto di spiare le conversazioni di Telegram e quelle di gruppo di WhatsApp.

La vulnerabilità sfrutta le segreterie telefoniche di alcuni operatori per consentire di entrare facilmente in possesso dei codici di attivazione; la procedura non è neanche troppo complicata, anzi, è sufficiente conoscere il numero di telefono della vittima. Quando il telefono di quest’ultima non è raggiungibile (basta inviare un silent SMS per scoprirlo), l’attaccante può richiedere il codice di attivazione del servizio di messaggistica (ad esempio tramite l’applicazione web di Telegram) utilizzando il numero della vittima; nel video esplicativo che trovate in fondo Telegram invia il suddetto codice via SMS e in seguito telefona all’utente, fornendolo vocalmente.

Il problema è che, nel momento in cui il telefono della vittima non risulta raggiungibile, tale chiamata finisce registrata nella segreteria telefonica; l’attaccante a questo punto può sostituire il suo caller-ID con quello della vittima, riuscendo ad accedere al messaggio in segreteria ottenendo il codice di attivazione. Grazie a questo il malintenzionato può accedere alle conversazioni di Telegram e alle chat di gruppo di WhatsApp, senza grandi difficoltà.

Secondo i tecnici tale vulnerabilità affliggerebbe circa 32 milioni di SIM italiane: purtroppo non tutti gli operatori hanno reso sufficientemente sicuri i loro sistemi di segreteria, spesso protetti soltanto da generici PIN di default (neanche quelli); con la tecnica denominata “spoofing”, che consiste nel camuffamento del numero di telefono, alcune segreterie (tra cui quelle di Wind e 3 Italia) permettono di accedere facilmente. Il problema, gravissimo, è troppo sottovalutato: WhatsApp, interpellata, ha semplicemente sostenuto di non essere interessata perché la falla riguarda gli operatori telefonici e sarebbe loro responsabilità correggerla.

Paolo Lezzi, CEO e fondatore di InTheCyber, sostiene che la vulnerabilità sia facilmente risolvibile, ma che risulti “solo la dimostrazione dello stato non ottimale in cui versa la sicurezza dei sistemi informatici e digitali“; soprattutto ci vorrebbero “obblighi e responsabilità chiare per chi progetta e gestisce i prodotti e i servizi connessi, sia a livello pubblico che privato“. Lezzi conclude affermando che “una vulnerabilità banale come questa da noi dimostrata può mettere a repentaglio la sicurezza delle persone, a cascata anche quella dell’ente o azienda per cui lavorano e, in caso di utilizzi estremamente malevoli, del Paese intero”.

Speriamo che chi di dovere si dia una mossa per correggere questa falla, senza il classico metodo dello “scaricabarile”. Qui sotto potete trovare un filmato esplicativo che mostra quanto sia grave la criticità. Cosa ne pensate?

immagine originale da Lifehacker.com