Gli hacker possono leggere i messaggi crittati di Whatsapp e Telegram, ascoltare le nostre conversazioni telefoniche e sapere dove ci troviamo in ogni momento—per farlo, non hanno bisogno di nient’altro che del nostro numero di telefono. La parola hacker, ovviamente, può essere declinata a piacere includendo anche la polizia o il governo.

Ciò è reso possibile da una falla nel cosiddetto Signalling System No. 7, abbreviato in SS7, un sistema che connette tra loro tutte le reti mobili del mondo.

Questa falla non è nuova—l’hacker tedesco Karsten Nohl l’aveva scoperta già nel 2014, ne aveva parlato a in diverse conferenze in USA, UK e Germania, e persino in televisione. I nostri telefoni sono ancora oggi vulnerabili, perché riparare SS7 si è dimostrato più complicato del previsto.

Uno dei più grossi pericoli per l’utente medio è l’intercettazione dei codici che le app di messaggistica sono solite inviare all’utente come misura di sicurezza per proteggere il loro account. In questi due video si vede quanto è facile per un hacker violare il sistema grazie alla falla di SS7, e in quanto poco tempo la crittazione end-to-end di Telegram e WhatsApp può essere aggirata:

Con questo procedimento, la rete mobile viene portata a credere che la vittima e l’hacker abbiano lo stesso numero di telefono. A quel punto, il numero IMSI (International Mobile Subscriber Identity) della vittima diventa visibile all’interno di una interfaccia quando il numero viene digitato; infine, l’hacker ottiene il codice dell’account Whatsapp o Telegram e riesce ad accedere ai dati privati del malcapitato—inclusi i gli eventuali backup delle conversazioni.

Questo tipo di hack si chiama attacco Man-In-The-Middle, e nessuna delle due parti è in grado di sapere che il collegamento che li unisce è stato compromesso.

Finché gli standard globali delle reti mobili non cambieranno, questo problema continuerà a esistere. Ovviamente non vogliamo generare il panico, ma sarebbe utile se qualcuno—per esempio la GSMA—si facesse carico della riparazione di questa falla, a ben due anni dalla sua scoperta.

Seguiteci sulla nostra nuova pagina!