Il fatto che qualcuno possa spiare WhatsApp e Telegram, divenuti ormai il centro delle nostre conversazioni quotidiane, può far drizzare immediatamente i peli sulle braccia.
Vi abbiamo spiegato qualche tempo fa come ciò sia teoricamente possibile ma difficilmente attuabile, tuttavia una recente “scoperta” della security firm milanese InTheCyber mostra che esiste un metodo praticabile per farlo; a loro detta sarebbe “un gioco da ragazzi”.
Praticabile sì, anche abbastanza semplice, ma che nel mondo reale potrebbe trovare un bel po’ di difficoltà.
Perché? Semplice: il tutto si basa sul fatto che quando avviene l’autenticazione (non autorizzata) per collegarsi a WhatsApp o Telegram il telefono del legittimo possessore dell’account debba essere spento.
La falla scoperta da InTheCyber, come riporta anche il Corriere, non è propria di WhatsApp né di Telegram ma riguarda una debolezza del sistema di segreteria telefonica degli operatori italiani. Il tutto si basa sul fatto che entrambi i sistemi di messaggistica effettuano l’autenticazione su un dispositivo usando un codice inviato tramite SMS (o tramite IM per Telegram, in alcuni casi).
Nel caso l’autenticazione tramite SMS non vada a buon fine viene avviata una chiamata automatica per comunicare tale codice direttamente per telefono.
Spiare WhatsApp e Telegram: arriva la segreteria!
E’ qui che subentra la segreteria telefonica; no, non quella di WhatsApp, quella del nostro operatore di telefonia! Se il telefono del proprietario dell’account è spento ed ha la segreteria telefonica attiva, il messaggio contenente il codice d’accesso viene lasciato in segreteria.
La debolezza è servita: numerosi operatori italiani permettono di accedere alla segreteria semplicemente telefonando dal proprio numero oppure da altro numero; in quest’ultimo caso, bisognerà specificare il numero della casella a cui si vuole accedere e specificare un codice d’accesso. Non molti utenti, sfortunatamente, modificano tale codice – ed esistono guide in rete che offrono i codici predefiniti.
Tra l’altro esistono alcune app che permettono di “simulare” l’ID chiamante di un numero non proprio, traendo così in inganno il meccanismo di segreteria ed ottenendo l’accesso automatico ad essa.
Morale della favola: in linea teorica, per avere accesso a WhatsApp e Telegram è necessario avere a disposizione il numero di telefono dell’utente vittima, il codice predefinito della sua segreteria ed effettuare la procedura d’accesso quando il telefono di quest’ultimo è spento.
Una serie di circostanze non semplici da raggiungere, dobbiamo ammetterlo.
Cosa succede se l’attacco va a buon fine?
Detto ciò, veniamo al dunque: spiare WhatsApp con questo metodo è possibile solo per metà, in quanto per ripristinare i backup presenti c’è bisogno di possedere anche le credenziali Gmail della vittima; si possono tuttavia leggere i messaggi arrivati dal momento dell’accesso (ed eventualmente rispondervi), almeno fin quando la vittima stessa non si rende conto di un accesso indesiderato e lo revoca.
Storia leggermente differente per Telegram, che invece memorizza i messaggi su un server: in caso di accesso indesiderato questi saranno disponibili da subito, tuttavia non ci sarà modo di accedere alle chat segrete. Questo finché, ancora una volta, la vittima non si rende conto di un accesso indesiderato.
Gli operatori di telefonia italiana né i gestori di Telegram hanno risposto alla segnalazione di InTheCyber; lo staff di WhatsApp, invece, ha risposto che non si tratta di un problema di loro competenza in quanto la debolezza è dei sistemi di segreteria telefonica.
Come risolvere?
Per quanto riguarda WhatsApp, per stare più sicuri (nonostante il verificarsi delle circostanze è piuttosto difficile) potremo tranquillamente disattivare la segreteria telefonica su telefono spento o non raggiungibile o, magari, modificarne il codice d’accesso (in tal caso resterebbe però il problema delle app “fake dial”).
Per quanto riguarda Telegram è possibile facilmente evitare questa situazione senza neppure disattivare la segreteria telefonica, semplicemente attivando l’autenticazione a due fattori – ovvero la richiesta di una password aggiuntiva al PIN d’accesso – da Menu > Impostazioni > Privacy e Sicurezza.
Morale della favola
Il problema esiste, è un dato di fatto; ciò non deve però scatenare allarmismi insensati, poiché il verificarsi contemporaneo delle condizioni affinché l’attacco riesca (soprattutto del telefono spento!) è piuttosto raro. Se vogliamo star sicuri le soluzioni sono semplici: disattivare la segreteria se usiamo WhatsApp, attivare l’autenticazione a due fattori se usiamo Telegram.
Questo, almeno, fin quando gli operatori non implementeranno un meccanismo d’accesso alla segreteria telefonica più sicuro!
