Account Facebook a rischio hacker, basta sapere il numero di cellulare
Attenzione, attenzione: il vostro account Facebook è a rischio. Molto, a rischio. Per capire se siete potenziali vittime di un hack criminoso senza precedenti, vi basta rispondere a una semplice domanda: avete registrato il vostro numero di cellulare sul social network di Zuckerberg? Se la risposta è sì, vi conviene leggere quanto segue.
Il Signalling System 7 (SS7) è un insieme di protocolli, risalente al 1975, che si occupa di svariate funzioni telefoniche. Per esempio, avviare o terminare una telefonata, occuparsi della portabilità di un numero, inviare e ricevere SMS, e molto altro ancora. Come tutte le tecnologie un po’ obsolete, ma ancora utilizzate in epoca più moderna, anche il SS7 ha dimostrato di avere alcune vulnerabilità. Per la precisione, verso la fine del 2014, un gruppo di ricercatori tedeschi dimostrò che era possibile sfruttarle per intercettare telefonate e messaggi di testo. Per esempio, ricevere SMS, inviati a un dato numero, sul proprio telefono. E questo indipendentemente dal fatto che si utilizzassero raffinati sistemi di crittografia.
Un po’ come installare il più sofisticato antifurto in casa, e piazzare all’esterno un cartello con su scritto il codice di sblocco.
Quindi non importa se Facebook si è arricchito di tecnologie pronte a migliorarne la sicurezza: importa che le famigerate vulnerabilità di SS7 riguardino da vicino anche il social network di Mark Zuckerberg. E così ecco che basta un numero di telefono per mettere potenzialmente KO la privacy di più di un miliardo e mezzo di persone. Cerchiamo di capire meglio di che si tratta.
Quando scordiamo la password di Facebook, il social network propone due metodi per recuperarla. Il primo passando per l’indirizzo email impostato in fase di registrazione, il secondo utilizzando il numero di cellulare scelto per verifiche di questo tipo. Scegliendo la seconda opzione, Facebook non fa altro che inviare un SMS, contenente un codice di verifica, al numero del proprietario di quel dato account. Fin qui tutto chiaro? Bene. All’inizio di questo articolo vi ho spiegato che le vulnerabilità di SS7 consentono, di fatto, di deviare un SMS da un numero a un altro. Ora, immaginate cosa succederebbe se il codice di verifica di Facebook venisse deviato dal numero dell’utente a quello di un criminale informatico. Ve la faccio breve: sarebbe il criminale a poter reimpostare la password di Facebook e, di fatto, impossessarsi dell’account. Tutto questo conoscendo solo il numero di cellulare registrato dalla vittima (che nel 99% dei casi è il suo abituale numero di cellulare).
Certo, Zuckerberg e dipendenti possono poco di fronte a una vulnerabilità di un protocollo telefonico. Di fatto, tuttavia, con questo trucchetto diventa piuttosto semplice impossessarsi di un account anche per uno smanettone di medio livello. Facebook, comunque, è in buona compagnia: con un procedimento molto simile, si può ottenere il medesimo risultato con WhatsApp e anche con il super-crittato Telegram. Ancora una volta, il castello di protezioni messo in piedi da questi social può poco, se poggia su basi deboli come un protocollo vecchio e di cui si è ampiamente dimostrata l’insicurezza. Tant’è che i principali operatori telefonici sono al lavoro per risolvere la magagna. Nel frattempo, è Facebook stessa a gettare acqua sul fuoco: l’opzione per recuperare la password con un codice via SMS viene disattivata nel momento in cui si attiva l’autenticazione in due passaggi, rintracciabile tra le Impostazioni di Facebook. In alternativa, basta non registrare alcun numero di telefono nel social network, che dopotutto rimane una delle scelte migliori. Vale per Facebook, e per un mucchio di altri servizi. (fonte)