La domanda ha sempre incuriosito buona parte degli appassionati di telefonia e comunicazioni, cosଠcome gli esperti di sicurezza informatica: quanto è sicura una normale telefonata tra due interlocutori? A quanto risulta dalle più recenti analisi in merito, non troppo, e questo sarebbe legato ad una falla informatica, un difetto nel sistema di comunicazione che si estenderebbe a livello mondiale. Esistono addirittura soluzioni software in vendita per favorire questo genere di attività , e questo dimostra che oltre ad un interesse in merito molto marcato esiste un giro d’affari non da poco, cosa confermata (come se non bastasse) dalle rivelazioni di Edward Snowden del 2013.
Da tempo il ricercatore Karsten Nohl ha fatto presenta la grossa falla contenuta in SS7 (Signaling System #7), il sistema di comunicazione utilizzato dalle reti cellulari mondiali. Si tratta di un insieme di protocolli di comunicazione che permettono ai cellulari di funzionare, scambiandosi tutte le informazioni necessarie per chiamare, ricevere ed inviare SMS, attivare il roaming internazionale ed addebitare costi. Il problema si riflette non solo sulle telefonate ordinarie ma anche, indirettamente, sulle app di messaggistica più popolari, come Telegram o Whatsapp. Ovviamente questo non vuol dire che non debbano più essere utilizzate o che si debba andare in paranoia: è giusto sapere che esistono certe possibilità , e sperare che vengano risolte in tempi brevi.
È noto da tempo che è possibile (sfruttando opportune tecniche e strumenti, se non altro non proprio alla portata di chiunque) intercettare qualsiasi telefonata nel mondo con un tasso di successo del 70%. Riparare una falla nota e rimasta scoperta per cosଠtanto sembrerebbe più complesso di quanto sembri, e c’è chi sospetta che a lasciare il problema “appeso” sia la volontà di alcune autorità – che avrebbero cosଠvita molto facile nel potere intercettare SMS e telefonate per indagini o per eventuali abusi. Il problema di fondo è che la falla sul sistema SS7 invalida, rende del tutto inefficace insomma, qualsiasi protezione crittografica sia attiva su Whatsapp come su Telegram e altri, visto che il codice di sicurezza per confermare il proprio numero di telefono, ad esempio, viene inviato via SMS: chiunque potrebbe in questi termini accedere col nostro numero al nostro account.
Il problema non è nuovo, è noto almeno dal 2014 (fonte), ma non è stato mai realmente affrontato nè tenuto in debita considerazione. Quello che permette di fare la falla informatica presente su SS7 è di localizzare il telefono (anche se non fornito di GPS), oltre ad intercettare il contenuto di SMS e chiamate su un certo numero di telefono: di riflesso, interi archivi di chat su Whatsapp sarebbero a rischio intercettazione. Le opere di spionaggio delle telefonate potrebbe avvenire, in linea generale, sia su un singolo numero che su un insieme di numeri di telefono di una certa area geografica. Il rischio è potenzialmente estendibile a tutti i meccanismi di protezione come l’autenticazione a due fattori, ovvero la procedura che invia una OTP (One Time Password, ovvero password temporanea casuale) da abbinare alla password classica per limitare la possibilità di accessi indesiderati. Essa viene utilizzata anche dai sistemi di online banking: in questo caso, se non altro, l’uso di autenticazione mediante chiave (il dispositivo che genera la OTP localmente sul display della chiavetta, e che ad oggi tutte le banche forniscono) è in qualche modo preferibile e meno rischioso anche per l’utente comune.
Per violare i contenuti di un telefono (così come lo storico di messaggi e chiamate Whatsapp) è stato dimostrato che è possibile sfruttare ampiamente la suddetta falla di SS7, aggirando la crittografia end-to-end, eseguendo la procedura di validazione del numero di telefono ed impadronendosi indebitamente dello stesso. Il tutto mediante violazione informatica del tipo man in the middle che, come abbiamo discusso in altre occasioni, permetterebbe di violare il contenuto delle comunicazioni senza che la vittima se ne possa accorgere.
Il video seguente mostra come avvenga la procedura a livello pratico (proof of concept).
Si tratta chiaramente di un rischio concreto che, in quanto tale, andrebbe discusso apertamente e riparato al più presto. La falla è nota da tempo e non è stata ancora risolta: nel frattempo, gli utenti possono purtroppo fare poco o nulla per proteggere la delle proprie comunicazioni.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟠 Hosting name-based ed IP-based: cosa cambia?
- 🔴 Cosa sono uptime e downtime di un sito, server o servizio online?
- 🔴 Hosting name-based ed IP-based: cosa cambia?
