Nella giornata del 24 Ottobre 2016, si è tenuta a Milano la 7ª Conferenza Nazionale sulla Cyber Warfare (guerra cibernetica). Assieme alle tante, interessanti, notizie emerse sul tema della lotta al cyber crimine, una ha gettato nello sconforto gli amanti della messaggistica moderna: intercettare i messaggi di Whatsapp e Telegram sarebbe ancora molto facile.
Come sappiamo, da tempo, le conversazioni tenute su Whatsapp e Telegram beneficiano della crittografia end-to-end: questo vuol dire che viene criptato tutto ciò che mittente e destinatario si dicono e si scambiano vicendevolmente. Tuttavia, nonostante questa forma di sicurezza molto avanzata, intercettare le chat su questi 2 celebri messenger sarebbe ancora piuttosto facile.
A rivelarlo, nel corso della conferenza, è stata la società di sicurezza ” InTheCyber” con base a Milano e nella vicina Svizzera (Lugano): il team di ricercatori di quest’azienda ha scoperto che la falla nella sicurezza comunicazionale delle suddette app starebbe nel loro ricorso alla segreteria telefonica in sede di autenticazione del numero di telefono.
Whatsapp e Telegram, quando vengono installate, richiedono l’autenticazione del numero di telefono tramite l’invio di un SMS. All’inizio il codice viene inviato via SMS ma, qualora si affermi di non averlo ricevuto, l’applicazione prova a telefonarci e, trovando il numero spento o irraggiungibile, lascia il codice segreto di autenticazione nella segreteria telefonica. Ecco il problema: in Italia il servizio di segreteria telefonica è assai mal presidiato, tanto che si può accedere alla casella vocale di una persona seguendo una banale procedura, o utilizzando delle app che emulano l’identificativo di chiamata del malcapitato.
Una volta impossessatosi di tale codice, l’hacker non deve far altro che autenticarsi – sul proprio device o su una versione web based delle app in questione (es. Whatsapp for Web): da quel momento, tutto ciò che verrà comunicato o inviato alla vittima, verrà recapitato in pari copia anche al criminale informatico che, altresì, potrà anche farsi passare per la persona a cui ha rubato l’identità digitale. Inutile ribadire a quali comportamenti criminosi (ricatti, truffe etc) tutto ciò possa prestare il fianco.
Proprio per la serietà del problema, che affliggerebbe 32 milioni di SIM italiane, InTheCyber” ha avvertito di tale falla sia i creatori di Whatsapp e Telegram che i maggiori operatori telefonici italiani ma le (poche) risposte ottenute sono state all’insegna dello scaricabarile. Ragion per cui, precisa la security house italiana, è bene assumere le seguenti cautele: in primis, disabilitare il servizio di segreteria telefonica e, in ultima istanza, laddove possibile (su Telegram si può già fare, mentre Whatsapp sta tardando un po’ troppo nel consentirlo), abilitare l’autenticazione a 2 fattori (simile al login che alcune banche, tramite key security, adottano per l’accesso all’home banking).