Intercettare i messaggi WhatsApp e Telegram è possibile, ma non per colpa loro (video)
Sia WhatsApp che Telegram adottano da tempo la crittografia end-to-end, che teoricamente mette al sicuro l'utente da possibili intercettazioni. Anche con un attacco di tipo man in the middle, che riuscisse ad insinuarsi nella comunicazione carpendo i pacchetti dei messaggi, tutto ciò che l'attaccante otterrebbe sarebbe del testo criptato indecifrabile. Purtroppo però questo non basta, non quando uno dei protocolli di comunicazione utilizzati presenta delle gravi falle di suo: parliamo nello specifico di SS7.
Signaling System 7 è un set di protocolli usato nelle reti PSTN che principalmente si occupa di gestire attivazione e chiusura delle chiamate e di servizi ad essi correlati. Il problema è che questo presenta anche delle vulnerabilità mai risolte, che consentono l'intercettazione delle comunicazioni, ed una di queste vulnerabilità è alla base degli exploit che trovate illustrati nei video a fine articolo.
LEGGI ANCHE: WhatsApp e Telegram si rincorrono in Brasile
Senza voler scendere nel dettaglio, sfruttando una falla di SS7, l'attaccante riesce a far credere alla rete di avere lo stesso numero di una delle vittime, ed in questo modo riesce a ricrearne l'account WhatsApp o Telegram, ricevendo così il codice che lo autentifichi come legittimo proprietario dello stesso, permettendogli così di inviare e ricevere messaggi a nome della vittima.
Il problema di SS7, nonostante siano noti da tempo i suoi problemi di sicurezza, è che SS7 non è di nessuno, ma è sfruttato da tutti, ovvero non c'è un'azienda precisa che lo possieda e abbia un potere decisionale forte tale da intervenire tempestivamente su queste cose. Si potrebbe quasi dire, se siete cospirazionisti, che non c'è l'interesse nel risolverli, ed indubbiamente, se le app diventano sempre più sicure ed inviolabili, perché non agire su altri fronti?
E sia chiaro che in questo caso specifico parliamo di WhatsApp e Telegram, ma impersonare un numero altrui apre scenari ben più ampi della semplice intercettazione delle due app, scenari che forse a qualcuno non dispiacciono affatto.
A gli utenti un po' meno.