Spiare WhatsApp e Telegram? "Un gioco da ragazzi", ma è davvero così?

InTheCyber, security firm milanese, spiega come una 'debolezza' della segreteria telefonica permetta di violare gli account di messaggistica

Il fatto che qualcuno possa spiare WhatsApp e Telegram, divenuti ormai il centro delle nostre conversazioni quotidiane, può far drizzare immediatamente i peli sulle braccia.

Vi abbiamo spiegato qualche tempo fa come ciò sia teoricamente possibile ma difficilmente attuabile, tuttavia una recente “scoperta” della security firm milanese InTheCyber mostra che esiste un metodo praticabile per farlo; a loro detta sarebbe “un gioco da ragazzi”.

Praticabile sì, anche abbastanza semplice, ma che nel mondo reale potrebbe trovare un bel po’ di difficoltà.

Perché? Semplice: il tutto si basa sul fatto che quando avviene l’autenticazione (non autorizzata) per collegarsi a WhatsApp o Telegram il telefono del legittimo possessore dell’account debba essere spento.

La falla scoperta da InTheCyber, come riporta anche il Corriere, non è propria di WhatsApp né di Telegram ma riguarda una debolezza del sistema di segreteria telefonica degli operatori italiani. Il tutto si basa sul fatto che entrambi i sistemi di messaggistica effettuano l’autenticazione su un dispositivo usando un codice inviato tramite SMS (o tramite IM per Telegram, in alcuni casi).

whatsapp-spy

Nel caso l’autenticazione tramite SMS non vada a buon fine viene avviata una chiamata automatica per comunicare tale codice direttamente per telefono.

Spiare WhatsApp e Telegram: arriva la segreteria!

E’ qui che subentra la segreteria telefonica; no, non quella di WhatsApp, quella del nostro operatore di telefonia! Se il telefono del proprietario dell’account è spento ed ha la segreteria telefonica attiva, il messaggio contenente il codice d’accesso viene lasciato in segreteria.

La debolezza è servita: numerosi operatori italiani permettono di accedere alla segreteria semplicemente telefonando dal proprio numero oppure da altro numero; in quest’ultimo caso, bisognerà specificare il numero della casella a cui si vuole accedere e specificare un codice d’accesso. Non molti utenti, sfortunatamente, modificano tale codice – ed esistono guide in rete che offrono i codici predefiniti.

Articolo successivo