Non mi aspettavo che sarebbe successo così in fretta. Ero in chiamata su Google Hangouts con un collega, quando l’hacker mi ha inviato gli screenshot dei miei profili Bumble e Postmates che aveva appena forzato. Poi mi ha mostrato un SMS che sarebbe dovuto arrivare a me, ma che lui aveva intercettato. Poco più tardi, ha preso il controllo del mio account WhatsApp e ha scritto a un mio amico fingendosi me.
Per quanto rovistassi nel mio telefono, niente lasciava intendere che avessi subito un attacco hacker. Avevo ancora rete, sempre con il mio operatore. Non c’era nulla di insolito. Ma l’hacker aveva dirottato a sé tutti i miei messaggi, senza sforzi particolari. E l’intera operazione gli era costata solo l’equivalente di 13 euro.
Videos by VICE
Non avevo subito uno swapping della SIM—cioè quando un hacker corrompe o inganna un impiegato di un servizio telefonico per spostare il numero della vittima su una SIM card in suo possesso. Il mio hacker ha usato un servizio offerto da un’azienda—Sakari, che aiuta a fare marketing via SMS di massa—per reindirizzare a sé i miei messaggi. Questo vettore di attacco, passato così in sordina, dimostra non solo quanto poco regolamentati siano gli strumenti usati dagli SMS per scopi commerciali, ma anche quante falle ci sono nella nostra infrastruttura di telecomunicazioni.
Lucky225, l’hacker sotto pseudonimo che ha compiuto l’attacco, ha raccontato a Motherboard che chiunque può iscriversi al servizio e avere accesso ai tool necessari per sequestrare un numero di telefono.
In questo caso Lucky225 ha agito sotto mio permesso esplicito, proprio per dimostrare la falla. Quest’ultima non si basa neanche su una vulnerabilità SS7, per cui è necessario penetrare nell’infrastruttura dell’industria delle telecomunicazioni per intercettare i messaggi mentre questi sono in viaggio. Ciò che ha fatto Lucky225 con Sakari è più facile e adatto a dei principianti. A differenza del dirottamento della SIM, dove una vittima perde del tutto la rete cellulare, il mio telefono era normale. Ma non mi sono mai arrivati i messaggi che sono arrivati a lui.
Una volta che l’hacker è in grado di reindirizzare gli SMS della sua vittima, entrare anche in altri account associati a quel numero di telefono è facile. Nel nostro esperimento, l’hacker ha mandato richieste di login a Bumble, WhatsApp e Postmates, accedendo facilmente a ognuna delle app poco dopo.
“Ho usato una carta prepagata per comprare il loro piano mensile [i 13 euro di cui sopra] e subito dopo potevo rubare numeri semplicemente compilando la richiesta con informazioni false,” aggiunge Lucky225, riferendosi a una delega formale, per cui chi firma dichiara di avere l’autorità per scambiare i numeri di telefono.
Il metodo di attacco ha implicazioni serie nel cybercrimine, dove i criminali assumono il controllo del numero di una persona per minacciarla, svuotarle il conto in banca o cercare informazioni per ricattarla. L’attacco solleva anche domande sulla sicurezza privata, aziendale e nazionale, per cui una volta che un hacker mette un piede dentro il telefono della sua vittima, potrebbe intercettare informazioni sensibili o segreti personali.
“Sakari è un servizio di messaggistica che permette alle aziende di inviare notifiche, promemoria, conferme e campagne promozionali via SMS,” si legge sul sito dell’azienda.
Per le aziende, mandare messaggi di testo a centinaia, migliaia o magari milioni di clienti può essere un’operazione laboriosa. Sakari fluidifica il processo. Ed esiste un intero ecosistema di servizi simili.
Sakari offre un periodo di prova gratuito a chiunque voglia vedere che aspetto ha l’interfaccia. Il piano più economico, che permette ai clienti di aggiungere un numero di telefono con cui ricevere e inviare i messaggi, è quello che abbiamo usato per l’esperimento. Lucky225 ha fornito a Motherboard screenshot dell’interfaccia di Sakari, in cui compare un simbolo “+” rosso dove gli utenti possono aggiungere un numero.
Mentre aggiungi un numero, Sakari ti sottopone una lettera di autorizzazione da firmare. Il documento dice che l’utente non deve compiere azioni illegali o inappropriate con il servizio o il numero fornito—ma, come ha dimostrato Lucky225, è possibile inserire il numero di qualcun altro e ricevere i suoi messaggi senza incorrere in ulteriori controlli.
Qualche minuto dopo aver inserito il mio numero dentro Sakari, Lucky225 ha iniziato a ricevere messaggi a me destinati. Io non ho ricevuto alcuna chiamata o notifica da Sakari che mi chiedesse conferma che il mio numero sarebbe stato usato dal loro servizio. Ho semplicemente smesso di ricevere quei messaggi.
“Ciao, sono Lorenzo,” ha scritto al numero il mio collega Lorenzo Franceschi-Bicchierai.
“Ciao Lorenzo :) – Lucky,” ha risposto l’hacker.
“In quel momento, tu non sapevi cosa stava succedendo,” ha detto a Motherboard per telefono Teli Tuketu, CEO dell’azienda di cybersicurezza Okey Systems. “Non avevi modo di sapere che l’attacco era in corso.”
Motherboard ha creato un account per scopi di verifica, ma Sakari lo ha sospeso appena li abbiamo contattati per un commento.
Non è chiaro quanto questo metodo di attacco sia effettivamente usato. Karsten Nohl, ricercatore al Security Research Labs che si occupa di sicurezza delle telecomunicazioni da anni, dice di non averlo mai visto prima. Tuketu, però, dice che succede “assolutamente.”
Motherboard ha creato account su Bumble, Postmates e WhatsApp in parte perché sono app che si affidano agli SMS per fare signup o login, anziché a indirizzi email e password (come fanno invece molte altre app).
Per Eva Galpern, direttrice della cybersicurezza all’organizzazione attivista Electronic Frontier Foundation, l’attacco “sottolinea l’importanza di allontanare le persone dall’autenticazione a due fattori via SMS e, più in generale, dalle soluzioni che permettono di fare ‘login con il tuo numero di telefono’.”
Né Bumble né Postmates hanno risposto alla nostra richiesta di commento. WhatsApp offre sistemi di mitigazione del rischio, come l’invio agli utenti di una notifica quando fanno logout dal loro dispositivo e accedono al proprio account da un altro. Un portavoce di WhatsApp ha detto a Motherboard che “con così tante app che utilizzano i codici via SMS, è di fondamentale importanza che gli operatori di rete si impegnino di più per proteggere la privacy e la sicurezza dei propri clienti. Per prevenire questo problema, WhatsApp include un servizio che notifica gli utenti e le loro chat quando qualcuno registra un nuovo dispositivo. In aggiunta, incoraggiamo fortemente l’attivazione dell’autenticazione a due fattori, che protegge gli account con un pin creato appositamente per l’utente impedendo a terzi di usare il numero WhatsApp di quella persona.”
Ma “l’operatore non ha granché importanza,” sostiene Lucky225, parlando di quali fornitori di rete siano o meno sensibili a un attacco del genere. “È il far west.”
Ma come fa Sakari a trasferire numeri di telefono? Nohl del Security Research Labs dice che “non esiste un protocollo globale standardizzato per l’inoltro di messaggi di testo a terze parti, dunque questi attacchi devono basarsi su accordi individuali con le aziende di telecomunicazione o gli hub di SMS.”
Nel suo caso, stando a una copia della lettera di autorizzazione di Sakari ottenuta da Motherboard, Sakari può controllare il routing di messaggi di testo grazie a un’altra azienda, Bandwidth. Bandwidth ha detto a Motherboard che aiuta a gestire l’assegnazione numero e l’indirizzamento del traffico tramite la collaborazione con un’altra azienda ancora, NetNumber. NetNumber è proprietaria e gestisce il database centralizzato che l’industria usa per il routing degli SMS, ovvero Override Service Registry (OSR), ha detto Bandwidth.
Questo flusso è simile, in un certo senso, al mercato dei dati di localizzazione cellulare, dove i giganti delle telecomunicazioni vendono accesso ai dati di localizzazione a una serie di aggregatori, che a loro volta rivendono quell’accesso ad altre aziende. E insieme al trasferimento dell’accesso ai dati di localizzazione, ogni azienda scarica la responsabilità del consenso dell’utente sull’azienda più sotto di lei, lasciando ampio spazio a errori e abusi della privacy.
La pratica di delegare l’obbligo di consenso ad altre aziende è vera anche per il routing dei messaggi. In questo caso, Sakari ha chiesto a Lucky 225 di firmare una lettera di autorizzazione per confermare di avere l’autorità per assumere il controllo del numero di telefono di Motherboard, ma Sakari non ha inviato messaggi di alcun tipo al numero in questione per avere conferma del consenso dell’utente. Bandwitdth sostiene che sia responsabilità del servizio specifico, quindi di Sakari, ottenere il consenso.
“Le aziende di telecomunicazione hanno diversi modi per autenticare i propri utenti, tra cui gli SMS. Il fatto che nessun metodo di autenticazione venga utilizzato in questa situazione per confermare il consenso del proprietario del numero è allucinante,” ha aggiunto Nohl.
Adam Horsman, co-fondatore di Sakari, ha detto via email a Motherboard che “per Sakari, privacy e sicurezza sono di estrema importanza, e il nostro impegno supera già lo standard del settore,” sostenendo inoltre che Sakari abbia un “robusto processo di verifica, che comprende la conferma dell’indirizzo email aziendale di ogni cliente, con revisioni fatte manualmente dal team ogni qual volta arriva una richiesta di aggiornamento di un piano a pagamento.”
“Non abbiamo mai visto casi di abuso intenzionale del servizio di attivazione via SMS e il vostro ricercatore ha assunto il ruolo di una figura malintenzionata interna a un’azienda genuina, che è un vettore di attacco insolito. Apprezziamo che ci abbiate avvertiti e abbiamo aggiornato il procedimento per evitare che si ripetano problemi,” ha proseguito. Dipendenti o clienti malintenzionati rappresentano in realtà un tipo di attacco hacker consolidato e comune.
Horsman ha detto anche che Sakari controllerà tutti i numeri attivati via SMS “per tutti gli account, per assicurarci che non ci siano altri casi.”
“Gli SMS sono un mezzo di comunicazione molto potente e se continueranno a dominare il panorama delle comunicazioni devono essere fatti dei miglioramenti per migliorarne la sicurezza e l’affidabilità,” ha aggiunto Horsman.
E Sakari è solo una di moltissime aziende in un’industria che è spesso gravemente trascurata.