Come il numero di telefono potrebbe compromettere i nostri account

Spesso si sente parlare della parola hack, ma poche volte viene spiegato di cosa ci si dovrebbe preoccupare quando si usa la Rete e come rimanere al sicuro. È inevitabile che, con l’avanzare dell’Internet Of Things, in futuro ci saranno sempre più dispositivi connessi e di conseguenza i rischi per gli utenti aumenteranno di pari passo. Infatti, spesso i protocolli per le comunicazioni utilizzati sono (informaticamente parlando) molto vecchi e  le loro vulnerabilità possono essere sfruttate dai malintenzionati. Ad esempio, è possibile entrare in un account di Facebook sfruttando un protocollo di comunicazione telefonica introdotto più di 30 anni fa.

Una vulnerabilità non è nient’altro che un punto di debolezza di un programma che potrebbe consentire ad attaccanti (i così detti black hacker) di sfruttare impropriamente alcune funzionalità. In questo caso la falla di sicurezza riguarda SS7, un protocollo usato dal 1980 per gestire la comunicazione telefonica tra dispositivi, sia per le telefonate che per gli SMS. Considerando che nel mondo sono più di 800 gli operatori che utilizzano SS7, è immediato capire come praticamente chiunque abbia un telefono possa essere vittima di un attacco.

Facebook-Hack

Prima di creare allarmismi infondati, bisogna precisare che la presenza di una vulnerabilità non rappresenta un pericolo immediato per l’utente. Il rischio si manifesta nel momento in cui qualcuno ha a disposizione i giusti mezzi per sfruttarla, trovando quello che viene definito exploit. Per quanto riguarda SS7, bisogna essere in possesso di una notevole quantità di risorse per riuscire a violare la rete di comunicazione, ed è dunque improbabile che si decida di mettere in atto un hack di questo tipo per infiltrarsi nei profili di persone comuni.

Come funziona questo exploit? Prendiamo ad esempio Facebook, dove è sufficiente cliccare su “Non ricordi più come accedere all’account?” e inserire il numero di telefono della vittima, così da mandare un codice di accesso temporaneo per il ripristino della password. Il tutto richiede che l’attaccante si sia già infiltrato all’interno della rete per reindirizzare l’SMS contenente il codice OTP (un numero utilizzabile una sola volta e poi invalidato) verso il proprio computer, così da impersonare la vittima (che non riceverà il codice sul telefono) ed entrare nel suo account. Nel video viene mostrato come sis possibile ricevere il codice OTP su un computer, assumendo che la rete sia già stata violata per il numero della vittima.

Il problema quindi non riguarda Facebook in sé per sé, ma tutti i servizi che sfruttano la rete telefonica su SS7 per il ripristino della password. Purtroppo nell’immediato non è possibile cambiare il protocollo, ma si sta cercando di lavorare su tutte le reti per includere dei firewall in grado di monitorare il traffico per identificare in tempo reale attacchi di questo tipo.

Cosa si può fare per proteggersi? Quando si usano servizi online, moltissime volte vengono chiesti dei dati personali e spesso vengono forniti dall’utente a cuor leggero, senza che si ponga il minimo dubbio. Bisognerebbe invece incominciare a porsi sempre delle domande come: “quali benefici si possono ottenere dal fornire il nostro numero di telefono a Facebook?” Quando non si riesce a dare una risposta sensata, sarebbe il caso, se possibile, di omettere il dato, così da evitare qualsiasi problema futuro. Come detto in precedenza, è difficile che qualcuno attacchi un account Facebook con questa vulnerabiltà, ma se ci si vuole proteggere in modo appropriato, si possono fare due cose:

  1. scegliere una password difficile da indovinare (e per questo vengono in aiuto password manager come 1Password, DashLane e LastPass) e non riutilizzarla su altri servizi
  2. abilitare il login con due fattori di autenticazione (2-Factor Authentication) tramite applicazioni come Google Authenticator. In questo modo sarà un’app a fornirci un codice di accesso aggiuntivo alla password così che in caso di violazione dell’account, all’attaccante verrà chiesto un codice di cui non potrà disporre. Per abilitare questa funzione su Facebook basta recarsi su Impostazioni -> Protezione -> Generatore di codici -> Configura, e utilizzare Google Authenticator che si può trovare gratuitamente su App Store e Play Store o Authenticator+ su Microsoft Store per associare l’app facendo uno scan di un codice QR.
Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.