È possibile leggere i messaggi di WhatsApp e Telegram, passati e futuri, senza avere accesso al telefono della persona spiata. Questa è la conclusione della ricerca che l’azienda milanese di cyber secyrity InTheCyber ha presentato oggi nel corso dell’evento Cyber Warfare Conference.

L’attacco consente di autenticare un secondo telefono (o client web/pc nel caso di Telegram) sul profilo della vittima. In questo modo, l’attaccante ottiene accesso ai messaggi registrati e a quelli che la vittima scambierà con altri.

Tutto quello che serve all’attaccante è il numero di telefono della vittima, che deve però avere attivata la segreteria telefonica sulla linea cellulare. Già, perché questo attacco non sfrutta un bug dei software di messaggistica, ma piuttosto delle pessime pratiche di implementazione della sicurezza della segreteria telefonica adottate dai gestori di cellulari. Questi, infatti, molto spesso utilizzano un PIN standard per accedere ai messaggi registrati, o addirittura non richiedono alcun codice di accesso: si “fidano” dell’identificativo del chiamante e consentono accesso diretto alla casella del numero corrispondente. Peccato che questa informazione sia facilmente falsificabile, usando diverse app per iOS e Android.

Sia WhatsApp che Telegram hanno puntato molto sulla riservatezza dei messaggi, il cui contenuto è protetto da sistemi di cifratura end-to-end molto robusti.

Vediamo in dettaglio quali sono le fasi di un attacco.

1. Verifica della raggiungibilità della vittima

I messaggi silenziosi, Short Message Type 0 come sono definiti nelle specifiche GSM, sono un tipo di SMS poco conosciuto ai più. Si tratta di messaggi invisibili: non generano beep o vibrazioni, possono non contenere alcun testo e non vengono registrati nella cronologia. Generano, però, una “conferma di consegna”, che viene ricevuta dal mittente. Esistono svariate applicazioni in grado di inviare questo tipo di messaggio da un qualunque smartphone. Se l’attaccante riceve la ricevuta di consegna, per il momento non può fare nulla, se non ripetere il tentativo. Non appena invierà un messaggio senza ricevere conferma di ricezione, saprà che è giunto il momento di attaccare.

2. Registrazione di un nuovo dispositivo sul profilo

L’attaccante a questo punto invierà all’app di messaggistica la richiesta di registrazione su un nuovo dispositivo in suo possesso. Il sistema di autenticazione prevede di verificare il numero di telefono del titolare dell’account attraverso un codice inviato via SMS al titolare dell’account. Quando questo messaggio non avrà risposta, perché il cellulare non è raggiungibile, il sistema farà un secondo tentativo con una telefonata in cui una voce sintetizzata leggerà il codice di autenticazione. Se la vittima ha la segreteria telefonica attivata, questa registrerà il codice di conferma.

3. Accesso alla segreteria della vittima

L’attaccante a questo punto può violare la segreteria della vittima e ascoltare il codice di autorizzazione. Può farlo in due modi:

  • Usando un PIN di autenticazione di default, come 1111, 000, 1212 a seconda dei casi;
  • Senza nemmeno usare un PIN, ma modificando il caller ID del proprio telefono per farlo combaciare con quello della vittima. Alcuni gestori telefonici infatti prenderanno per buona questa informazione concedendo accesso alla segreteria.

4. Autenticazione del nuovo dispositivo

Con il codice così carpito, sarà possibile autenticare un nuovo cellulare, o applicazione client/web nel caso di Telegram, e avere accesso a i messaggi, passati e futuri, inviati e ricevuti da quell’account. Sarà anche possibile inviare a terzi un messaggio che i destinatari crederanno arrivare dalla ignara vittima.

Come difendersi

A meno di ripensamenti dovuti alla diffusione pubblica della notizia, non c’è da aspettarsi che le aziende coinvolte prendano contromisure a brevissimo termine. WhatsApp, Telegram e i gestori mobile italiani, contattati da InTheCyber prima della pubblicazione della ricerca al pubblico, secondo i principi della “responsible disclosure”, non si sono dimostrate interessate a risolvere il problema. Riporta il Corriere della Sera/DDay che WhatsApp ha scaricato la responsabilità sugli operatori telefonici, che non hanno nemmeno risposto alla richiesta di contatto.

Per proteggere il proprio profilo WhatsApp o Telegram dai rischi di intercettazione, conviene prendere queste precauzioni:

  1. Disattivare la segreteria telefonica del cellulare. Nell’impossibilità di farlo, cambiare il PIN di autenticazione di default con uno personalizzato.
  2. Attivare l’autenticazione in due passaggi. Su Telegram, da web, andare in Impostazioni, Imposta password aggiuntiva. Questa password verrà richiesta per il collegamento di un nuovo dispositivo. WhatsApp non dispone ancora di questa funzione, anche se indizi di una sua prossima implementazione sono stati rilevati in una beta del client per Android rilasciato lo scorso luglio.
  3. Prestare attenzione alle attività sospette. Se ricevete la notifica che un nuovo dispositivo si è collegato al vostro profilo, o se notate dei messaggi, nuovi per voi, che risultano già letti, è bene considerare l’account come compromesso e modificare la password, ma i proverbiali buoi (i messaggi passati) sono probabilmente già scappati dalla stalla.