Whatsapp e Telegram violabili tramite segreteria telefonica

Violare un account WhatsApp o Telegram è possibile sfruttando l'accesso alle segreterie telefoniche di alcuni gestori e il metodo di autenticazione basato su messaggi telefonici vocali. Ma e' davvero poi cosi' semplice?

Scritto da

Simone Ziggiotto

il

Violare un account WhatsApp o Telegram è possibile, secondo gli esperti della sicurezza di InTheCyberEsplora. La vulnerabilità trovata riguarda l’accesso alle segreterie telefoniche di alcuni gestori e al metodo di autenticazione dei sistemi di messaggistica basato su messaggi telefonici vocali.

Il bug. La falla di sicurezza riguarderebbe comunque solo gli utilizzatori di Whatsapp, Telegram ed eventualmente gli altri utilizzatori di servizi di messaggistica istantanea che usano anche procedure vocali per l’autenticazione.

Partiamo col ricordare che il codice di verifica che viene chiesto per confermare la propria identità dal servizio di messaggistica, inviato dal servizio di chat, può essere inviato tramite SMS o tramite chiamata vocale. Se l’utente va a scegliere quest’ultimo metodo, e al momento della chiamata l’utente ha il telefono spento o non raggiungibile, il messaggio vocale contenente il codice per l’autenticazione finisce registrato nella segreteria telefonica, la quale è accessibile anche da numeri che non sono quello dell’utente reale, quindi con i giusti dati puo’ essere accessibile da malintenzionati.

Le segreterie telefoniche. Nel caso di SIM Wind, è possibile ascoltare i messaggi da un altro telefono di rete fissa o mobile (escluso TIM) di un numero Wind chiamando il “+39 323 205 4200” e inserendo come codice di sicurezza 2121 oppure 1111 se il l’abbonamento o la ricaricabile sono stati attivati dopo il 14 giugno 2004. Il codice d’accesso garantisce la riservatezza dei messaggi e li protegge da ascolti indesiderati, per cui Wind invita gli utenti a modificarlo e memorizzarlo, ma la maggior parte degli utenti lasciano quelli impostati di default.

Nel caso di SIM Tre Italia, è possibile accedere alla segreteria telefonica anche da altri numeri rispetto il numero originale, quindi fissi o mobili o dall’ Estero, componendo la stringa +39 393 393 4133: in questi casi per ascoltare i messaggi ricevuti viene richiesta l’autenticazione con il numero di telefono e il PIN (che corrisponde al codice PIN originale della Sim all’attivazione) seguiti dal tasto #. In caso di smarrimento del codice, si puo’ trovare nella anagrafica all’ interno della sezione Profilo dell’Area Clienti.

Anche Vodafone chiede un odice di accesso per accedere alla segreteria di un numero da un telefono fisso, da un cellulare diverso dall’originale o dall’estero. Il codice d’accesso iniziale di tutti i nuovi numeri Vodafone è 123456 (per i numeri attivati prima del 21 novembre 2001 è 1234), con l’utente che puo’ modificarlo chiamando il numero 42020. Tuttavia, Vodafone non rende possibile accedere alla segreteria telefonica da un telefono fisso, da un cellulare diverso dall’originale o dall’estero finché l’utente non ha personalizzato il proprio codice d’accesso.

Capite a questo punto che nel caso di SIM Wind entrare nella segreteria è il caso piu’ semplice.

E’ davvero un grande problema? La soluzione potrebbe essere quella di disattivare la segreteria telefonica per il proprio numero, ma c’è da dire che comunque anche se di bug si tratta, è davvero difficile sfruttarlo. Infatti, perchè un malintenzionato possa sfruttare la vulnerabilità deve sapere in quale momento l’utente va a fare richiesta al servizio di messaggistica di verificare l’identità, quindi deve sapere che un dato utente/numero ha richiesto un codice tramite chiamata vocale, deve anche conoscere il tipo di operatore della SIM, deve attivarsi per chiamare la sua segreteria telefonica e deve sapere il PIN di sicurezza e sperare che nell’arco di tempo impiegato a fare tutto cio’ il codice registrato nella segreteria non sia gia’ scaduto. Perchè se non utilizzato entro un periodo di tempo dalla ricezione, il codice va a scadere. Se pero’ un malintenzionato è esperto e sa cosa deve fare velocemente, di fatto puo’ avere libero accesso alle chat di Telegram o ai gruppi di WhastApp.

Pertanto, si’ si tratta di un bug ma non c’è molto di cui preoccuparsi.

InTheCyberEsplora prevede di approfondire il caso in occasione della conferenza “Internet delle Cose – Impresa 4.0” in programma a Milano il 24 Ottobre 2016. La Cyber Warfare Conference (CWC) ha come obiettivo quello di accrescere la consapevolezza tra i decisori politici e aziendali italiani della crescente rilevanza strategica della Sicurezza Cibernetica. Il continuo aumento della frequenza di attacchi informatici sempre più sofisticati rende prioritaria l’introduzione di innovazioni politico-strategiche, organizzative, tecnologiche e culturali che possano garantire anche la protezione delle aziende che operano in settori determinanti per lo sviluppo dell’economia italiana.

Nel videoqui sotto, dal corriere.it, InTheCyber dimostra la vulnerabilità WhatsApp e Telegram.

standard

Impostazioni privacy