InTheCyber, società milanese specializzata nella sicurezza offensiva e difensiva informatica, denuncia una falla di Whatsapp e Telegram: violare gli account sarebbe facilissimo. Secondo i tecnici, sarebbero a rischio 32 milioni di SIM italiane.
Nuovo allarme sicurezza per gli utenti di Whatsapp e Telegram. InTheCyber, società milanese specializzata nella sicurezza offensiva e difensiva informatica, assicura: violare gli account è facilissimo. La semplice procedura di violazione dell’account è stata mostrata in anteprima a Corriere della Sera e DDay e verrà presentata ufficialmente lunedì 24 ottobre in occasione della 7° Conferenza sulla Cyber Warfare a Milano.
Il ‘bug‘ è dovuto alla facilità di accesso indebito delle segreterie telefoniche di alcuni gestori e alle procedure di autenticazione dei sistemi di messaggistica basate su messaggi telefonici vocali. Il codice di verifica chiesto per autenticarsi su Web ai servizi chat, infatti, può essere inviato tramite SMS o chiamata vocale; in quest’ultimo caso, se l’utente è al telefono o ha il cellulare spento, il codice viene lasciato in segreteria telefonica, accessibile facilmente da malintenzionati o semplici curiosi. InTheCyber stima che in Italia ci sono circa 32 milioni SIM a rischio, con in prima fila le utenze Wind e H3G: sul sito della Wind, infatti, viene scritto esplicitamente che è possibile ascoltare i messaggi in segreteria telefonica chiamando un numero ed inserendo un determinato codice Pin di sicurezza, spesso lasciato a valori preimpostati. Come proteggersi? La soluzione più ovvia è disattivare la segreteria telefonica. Chi non può rinunciarvi, deve impostare un codice personalizzato. La terza possibile soluzione è attivare l’autenticazione a due fattori per le app che dispongono di tale opzione, come Telegram. Ma c’è di più: secondo InTheCyber esistono anche tecniche più avanzate per entrare nelle segreterie altrui, come emulare l’identificativo di chiamata con una delle tante app disponibili per iOS e Android.
La falla di sicurezza è stata segnalata dai ricercatori sia agli operatori telefonici italiani sia agli sviluppatori delle diverse app. “Nessuna risposta dagli operatori” – ha dichiarato Lino Buono, Head of R&D di InTheCyber, a DDay – “Solo Whatsapp ci ha scritto scaricando la responsabilità sugli operatori”.
Photo Credits: Facebook
