WhatsAppMessaggistica e chatNews

Una brutta vulnerabilità permette di spiare conversazioni WhatsApp senza installare programmi

Di GugliElmo

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Scoprire come spiare conversazioni WhatsApp senza installare programmi è il sogno di ogni fidanzato/a geloso (e pericoloso), genitore apprensivo e di chiunque, generalmente, farebbe meglio a lasciare perdere simili approcci. Tuttavia, esiste una vulnerabilità che può consentire quest’attività di spionaggio, andando ben oltre la semplice “spiata” – si parla infatti di un vero e proprio furto, consentito sia da WhatsApp, sia dagli operatori, benché ovviamente in maniera inconsapevole.

Se ci riflettiamo sopra, col passare degli anni l’importanza assunta dal profilo WhatsApp nella gestione dei propri affari pubblici e privati è aumentata esponenzialmente. Non sorprende dunque che esistano malintenzionati capaci di sviluppare soluzioni sempre più subdole per penetrare le difese dei profili WhatsApp: l’ultima trovata, esposta da BleepingComputer, prevede l’utilizzo di un metodo vecchio ma sempre efficace nel permettere di prendere possesso del profilo WhatsApp altrui.

Siete pronti per scoprire in che modo un malintenzionato (l’attaccante in questo caso non è definibile hacker, dato che non è richiesta nessuna particolare capacità nel campo della programmazione) potrebbe non solo spiare conversazioni WhatsApp senza installare programmi di sorta, ma addirittura rubarvi l’account?

Di che tipo di vulnerabilità stiamo parlando

Generalmente gli attacchi condotti contro i profili social si definiscono “phishing”. Il termine va a indicare una forma subdola di furto, che consiste nel sottoporre alla vittima un’“esca”, solitamente rappresentata da una falsa schermata d’accesso, tramite la quale sia il bersaglio stesso a fornire all’attaccante le credenziali per accedere all’account social.

Oggigiorno i social network non offrono più solamente la password d’accesso quale forma di protezione dell’account – con l’accrescere dei furti di identità digitale, si è di pari passo diffuso l’utilizzo dell’autenticazione a due fattori. Si tratta di una forma di protezione aggiuntiva: una volta attivata, l’autenticazione a due fattori richiede l’immissione di un codice supplementare generato sul momento a ogni nuovo login; spesso questi codici vengono inviati via SMS, più raramente tramite chiamata vocale o su un’applicazione dedicata.

Una premessa necessaria, in quanto la vulnerabilità che colpisce WhatsApp coinvolge il sistema di autenticazione utilizzato dall’app. Per accedere a WhatsApp non bisogna infatti inserire una password, ma un codice generato sul momento (chiamata One-Time-Password, o OTA). Anche WhatsApp supporta l’autenticazione a due fattori ma, come su Telegram, questa si svolge creando una password da associare al proprio account – una sorta di “autenticazione a due fattori alla rovescia”. Per riuscire a spiare conversazioni WhatsApp senza installare programmi basterebbe dunque mettere le mani sull’OTA collegato all’account che si vuole monitorare – e Rahul Sasi, fondatore e CEO dell’azienda di sicurezza CloudSEK, ha scoperto una “falla che consente di farlo.

Se volete saperne di più sull’autenticazione a due fattori e su come attivarla, vi suggeriamo di dare un’occhiata alla nostra guida dedicata.

Come questa vulnerabilità mette in pericolo gli utenti

L’attacco si svolge tramite l’impiego di un vecchio metodo di intercettazione delle chiamate, in uso praticamente presso qualunque operatore. Stiamo parlando del servizio di inoltro della chiamata.

Questo servizio si configura tramite un codice MMI da digitare nel proprio dialer: normalmente il codice assomiglia a

**21*[numero di telefono verso il quale redirigere le chiamate]#

ed essendo un servizio solitamente gratuito, la sua attivazione procede rapidamente e senza intoppi.

Secondo Sasi, l’inoltro della chiamata può essere usato per spiare conversazioni WhatsApp senza installare programmi – rubando l’account della vittima. La strategia non è delle più semplici da attuare, fortunatamente: l’attaccante deve convincere l’utente oggetto dell’attacco a digitare il codice MMI sopra citato, opportunamente corretto così da consentire l’inoltro delle chiamata verso un numero di telefono in proprio possesso. Già a questo punto la vittima si dovrebbe rendere conto che qualcosa non va come dovrebbe, visto che, una volta attivato il servizio, lo smartphone comunica tramite una notifica (davvero impossibile da non notare) che l’inoltro delle chiamate è stato attivato sul proprio numero.

Ma anche nel caso in cui la vittima incominci a sospettare qualcosa, potrebbe essere già troppo tardi: a questo punto infatti l’attaccante ha già avviato il login all’account WhatsApp della vittima. Come già detto, WhatsApp richiede l’immissione di un codice che viene inviato al numero di cellulare collegato via SMS o tramite una chiamata: l’hacker opterà per questa seconda opzione, avendo accesso alle chiamate del telefono della vittima.

Nel giro di pochi secondi, il vostro WhatsApp potrebbe essere caduto nelle mani di un malintenzionato.

Come difendersi da questa vulnerabilità

Riuscire a capire come evitare che qualcuno riesca a spiare conversazioni WhatsApp senza installare programmi è relativamente semplice, per fortuna.

Innanzitutto, il primo consiglio che vi diamo è di evitare l’immissione di qualunque codice e/o numero di telefono che non vi venga comunicato da una fonte affidabile e conosciuta. I codici MMI in particolare sono facilmente riconoscibili, essendo ricchi di caratteri speciali; non vi sarà dunque difficile identificarli e, di conseguenza, evitare di digitarli nel vostro dialer.

Secondariamente, qualora doveste pure cadere vittima di questa “truffa”, WhatsApp mette a disposizione uno strumento di recupero degli account rubati che potrebbe tornarvi utile. Ogni volta che cambierete account, infatti, WhatsApp visualizzerà al primo accesso al profilo precedente una schermata informativa, la quale vi domanderà di confermare il passaggio di account o, al contrario, di chiedere una verifica del numero di cellulare. Prima di richiedere la verifica, ovviamente, è necessario che disattiviate l’inoltro di chiamata.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

GugliElmo

"Blogger per passione, studente per necessità": questa è la mia carta d'identità online da sempre, anche se certe cose, col tempo, sono cambiate. Classe '95, esperto di Android e tecnologia mobile, laureato in Relazioni Internazionali, oggi frequento il master in Editoria Cartacea e Digitale (entrambi presso l'Università di Bologna); gestisco AppElmo.com dal 2013, da quando, da semplice blog, è evoluto nel web magazine che è oggi.
Potete venirmi a trovare nel mio canale Telegram, oppure scrivermi una mail a [email protected].

Potrebbe piacerti anche Dallo stesso autore
Commenti
Potrebbe interessarti anche...

Ufficiale: arrivano le Storie su Telegram

Il nuovo logo (e il nuovo nome) di AppElmo – Le App di…

Telegram bloccata in Brasile: cos’è successo, e come…

1 di 308
//