C’è l’agenzia milanese InTheCyber dietro la comunicazione del bug di cui soffrirebbero WhatsApp e Telegram, tra le app di messaggistica più popolari. Stando a un test condotto dagli esperti, violare un account delel due sarebbe semplice, fin troppo. Basterebbe infatti conoscere il numero di telefono della vittima per intrufolarsi tra i messaggi di testo, video e audio, senza nemmeno prelevarli in modalità criptata ma al chiaro, eventualità che mette a serio rischio qualsiasi utente. La tecnica, presentata alla conferenza Cyber Warfare, prevede l’invio, da parte dell’aggressore, di un sms fantasma al telefono della vittima, per verificare se è raggiungibile. A quel punto, tramite un’app maligna, avviene la sostituzione del caller-id tra il dispositivo da violare e quello dell’hacker. La conseguenza è la ricezione del classico codice di attivazione che serve per abilitare un certo numero di telefono alla piattaforma di WhatsApp e Telegram (e simili).
Come ci riesce
L’inghippo sta nel fatto che, all’invio del primo “silent code”, viene momentaneamente bloccata la ricezione di SMS sullo smartphone da bucare, così che la sequenza di sblocco non raggiunga mai l’utente reale. Visto che quest’ultimo non può ricevere messaggi, la procedura di abilitazione deve avvenire tramite un avviso in segreteria, che un malintenzionato può raggiungere dall’interno della stessa applicazione sviluppata apposta per l’operazione. I ragazzi di InTheCyber dicono di aver contattato sia WhatsApp che Telegram, con la prima che si è dichiarata non interessata al problema perché inerente una gestione da parte dell’operatore telefonico, mentre la seconda ha pensato bene di non rispondere nemmeno. Eppure, la pratica potrebbe essere chiusa velocemente, tramite l’ntervento di telco e fornitori di servizi.
