Telegram e WhatsApp (ma non solo) vulnerabili al bug SS7, nuovi pericoli per la sicurezza

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Sembra proprio che la privacy degli utenti e la loro sicurezza non sia destinata a dormire sonni tranquilli: gli ultimi report svelano infatti che WhatsApp, Telegram e potenzialmente un numero ancora superiore di servizi di messaggistica possano essere vulnerabili al bug SS7, conosciuto globalmente e sfortunatamente mai definitivamente risolto.

A provarlo è stato Thomas Fox-Bewster, un esperto informatico che ha pubblicato su YouTube una serie di video comprovanti la possibilità di accedere ad un account WhatsApp o Telegram semplicemente conoscendo il numero di telefono della vittima. Naturalmente la procedura non è così nè semplice nè immediata come potrebbe sembrare in un primo momento, ma espone potenzialmente gli utenti a seri pericoli per la privacy.

Siete pronti per scoprire tutto quanto concerne ul bug SS7 su WhatsApp e Telegram?

Un bug troppo famoso per essere risolto

Scoperto per la prima volta nel 2014, il bug SS7 è internazionalmente conosciuto per essere una grave minaccia per tutti i sistemi di comunicazione, un bug talmente esteso che solo la mancanza di collaborazione e – paradossalmente – di comunicazione tra i carrier internazionali ha impedito che gli studi potessero venire a capo di una soluzione.

Telegram-SS7-bug-1
Uno screenshot del video che dimostra la possibilità di sfruttare il bug SS7 per penetrare il sistema di sicurezza di Telegram

Il bug SS7 presenta molte analogie con Stagefright, vulnerabilità di Android presente all’interno del sistema di riproduzione multimediale del sistema operativo: mentre però Stagefright è stato alla fine sconfitto, SS7 non ha mai trovato una reale opposizione anche per via del vantaggio che rappresenta per le agenzie governative e le multinazionali. Il bug SS7 non è un’esclusiva di Telegram ma di molti altri servizi – ad esempio, PayPal – e consente di penetrare le difese di un servizio, ingannandone i meccanismi di difesa ed oltrepassandone le barriere; a tale scopo è stato utilizzato per sottrarre piani industriali, brevetti (alcune agenzie pagano più di 13.000$ per un attacco SS7) e persino a scopi legali – è stato provato che l’NSA abbia avuto il permesso di sfruttare questa vulnerabilità.

Così come riporta il sito AndroidHeadlines, l’esperto Thomas Fox-Bewster ha rilasciato su YouTube una serie di video in cui prova la possibilità di lanciare, tramite programmi appositi, un attacco che spinge il sistema di autenticazione di Telegram e WhatsApp a riconoscere il telefono dell’hacker come proprietario“, intercettando l’SMS necessario per il login. A questo punto l’hacker può essere in grado di leggere tutte le conversazioni, cambiare la password dell’account o persino eliminarlo definitivamente. Nemmeno le chat segrete di Telegram sembrano sfuggire a questo bug, dato che SS7 è in grado di penetrare l’account e di intercettare di conseguenza ogni messaggio.

Questo bug infatti non colpisce solamente Telegram e WhatsApp, ma persino Facebook, GMail e Twitter e, con le giuste strumentazioni, è possibile penetrarne le difese. Speriamo solamente che in futuro vengano presi i provvedimenti necessari.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//