Protezione per tutta la famiglia

Noi di MonzaPC ti forniamo una protezione multidispositivo per tutta la tua famiglia.
Mettiti in sicurezza con le nostre soluzioni complete, leggere e affidabili.

Contattaci subito per un preventivo gratuito e una valutazione del rischio sulla tua rete e sui tuoi dispositivi!

1

2

34

5

 

Contattaci subito per un preventivo gratuito e una valutazione del rischio sulla tua rete e sui tuoi dispositivi!

Annunci

Ma quale privacy? Le app per Android sono piene di tracker

Qual è il confine tra una “legittima” attività di monitoraggio dell’attività dei propri utenti e la violazione della privacy? Il confine è spesso labile e chiunque utilizzi Internet è (o dovrebbe essere) consapevole del fatto di essere sottoposto a una forma costante di controllo.

Nonostante questa consapevolezza, quando emergono dettagli sul sistema di controllo diffuso che sviluppatori e aziende utilizzano nei loro prodotti qualche brivido lungo la schiena corre comunque.

A contribuire alla paranoia da controllo questa volta ci pensa uno studio di Yale Privacy Lab ed Exodus Privacy, che ha analizzato le app per sistemi Android alla ricerca di porzioni di codice che funzionano come tracker, cioè che registrano (e memorizzano sui loro server) informazioni più o meno sensibili riguardo l’uso che facciamo delle applicazioni.

Il risultato è un quadro piuttosto preoccupante. I ricercatori hanno individuato un elenco di 44 tracker largamente utilizzati nelle app per il sistema Google (ma secondo lo studio iOS non sarebbe immune dal fenomeno) per registrare il comportamento di chi le utilizza. E non stiamo parlando di app semi-sconosciute: nell’elenco ci sono veri “pezzi da 90” come Twitter; Skype; Uber; Spotify; Tinder e SoundCloud.

statistiche

Il risultato dello studio è stato pubblicato all’interno di un sito Internet che consente di verificare (attraverso un sistema di ricerca non proprio esaltante) quali app utilizzano un tracker. Di più: il database contiene anche tutti i permessi che vengono richiesti dalle app al momento dell’installazione.

Uno strumento utile per capire il livello di invasività delle applicazioni per dispositivi mobile, anche se per orientarsi e comprendere a pieno le informazioni serve qualche competenza tecnica.

Se volete dargli un’occhiata, selezionate la voce Report e All Applications. Nella finestra, più o meno in ordine alfabetico, compaiono le app analizzate. Un clic consente di accedere a una sorta di scheda che contiene tutte le informazioni riguardanti la privacy “garantita” dall’app in questione.

Per quanto riguarda le app italiane, a un primo sguardo il record assoluto sembra essere quello dell’app Mondadori dedicata a Grazia, che contiene tracce di ben 16 tracker. Ma siamo certi che spulciando il database possano saltare fuori altre sorprese. Buon divertimento

Clamoroso bug in macOS High Sierra. Si accede come root senza password

Diciamolo subito: più che la gravità o il rischio legato alla nuova vulnerabilità di macOS, quello che ha colpito tutti gli esperti di sicurezza è l’assurdità del bug, che sembra uscito dritto dritto dagli anni ’80.

A renderlo pubblico è stato Lemi Orhan Ergin, fondatore di Software Craftsmanship Turkey. In un tweet, Ergin si è rivolto direttamente ad Apple con una breve e coincisa frase che a Cupertino deve aver fatto saltare tutti sulla sedia: “Ci siamo accorti di un ENORME bug in macOS High Sierra. Chiunque può fare il login come “root” senza password semplicemente facendo più volte clic sul pulsante.”

L’utente root, si legge nella pagina di supporto di Apple, è piuttosto particolare.  “L’account utente denominato root è un utente che dispone di privilegi di scrittura e lettura in più aree del sistema, compresi file contenuti in altri account utente macOS. L’utente root è disabilitato per impostazione predefinita”. In teoria, per accedere con l’account root servirebbe un account con privilegi di amministratore.

Purtroppo non è così. E la procedura, verificata immediatamente dopo da numerosi esperti, funziona davvero. In pratica, quindi, chiunque abbia accesso fisico a un computer con l’ultima versione di macOS può accedere con l’account root nel giro di una manciata di secondi.

macos_bug-768x373

 

Per farlo basta aprire le Preferenze di sistema, accedere alla sezione Utenti e gruppi e fare clic sull’icona a forma di lucchetto. Nella finestra di autenticazione che si apre, bisogna inserire come username “root” e lasciare vuoto il campo della password.

sentimentalnaiveantelopegroundsquirrel-size_restricted

Qualche clic su sblocca è sufficiente per ottenere l’accesso e avere così la possibilità di fare qualsiasi cosa. Il tutto, come si vede nel video qui sopra, funziona anche da remoto. Non è chiaro però in quali condizioni e se l’attacco, per esempio, debba essere portato dall’interno della rete locale.

La soluzione, in attesa di una patch su cui starebbero già lavorando dalle parti di Apple, è quella di cambiare la password per l’account root, seguendo le istruzioni contenute in questa pagina Web.

Amazon Key può essere bloccata con un attacco Wi-Fi

amazon-key-copia-415x260

 

Quando si parla di domotica e sicurezza, le preoccupazioni maggiori riguardano i sistemi a cui sono affidati compiti importanti per la nostra sicurezza, primo tra tutti quelli che gestiscono l’accesso all’abitazione. Quando compare un bug, di solito, è da brividi.

Questa volta il problema travolge Amazon Key, il kit dell’azienda statunitense composto dalla videocamera di sicurezza Amazon Cloud Cam abbinato a una serratura elettronica compatibile.

Un sistema piuttosto particolare, che Amazon ha programmato per consentire l’accesso a persone di cui ci si fida, compreso i fattorini che consegnano i prodotti acquistati sul servizio di e-commerce anche quando il padrone di casa è assente.

Il tutto funziona così: una volta assegnato il permesso, il fattorino (o qualsiasi altra persona a cui si è inviato un permesso di accesso temporaneo) può aprire la porta, fare quello che deve fare e uscire chiudendosi la porta alle spalle.

La sicurezza è garantita dal fatto che, al momento della consegna, la videocamera si attiva e registra tutto trasmettendolo anche in streaming al proprietario di casa.

 

Il problema è che, come spiegano i ricercatori di Rhino Security, la Cloud Cam è vulnerabile a un attacco tramite Wi-Fi che mette a rischio la sicurezza dell’intero sistema.

Per portare l’attacco è sufficiente usare uno strumento open source chiamato Aircrack-ng, che permette di far “saltare” l’autenticazione della Cloud Cam nella rete Wi-Fi, mandandola offline per un periodo di tempo variabile tra i 20 secondi e i 5 minuti.

L’attacco non richiede l’autenticazione sul router e può essere ripetuto per quante volte si vuole. Di conseguenza, un eventuale hacker potrebbe mettere K.O. la videocamera per tutto il tempo che desidera.

Per portarlo è sufficiente identificare il MAC address della Cloud Cam. Cosa non difficile visto che l’identificativo di tutti i prodotti Amazon comincia per FC:A1:83

mac-768x361

La prima conseguenza, quindi, è che un eventuale “fattorino hacker” potrebbe bloccare la registrazione e fare quello che vuole mentre ha libero accesso all’appartamento, contando sul fatto di non essere registrato in video.

Tanto più che nel momento in cui la videocamera è offline, sul dispositivo del padrone di casa non comparirebbe un avviso o una schermata nera, ma rimarrebbe un fotogramma fisso con una semplice icona che indica il buffering del video.

Il problema, però, è più ampio. Stando ai test eseguiti dai ricercatori, infatti, l’attacco coinvolgerebbe anche il sistema di chiusura della porta, che nei fatti è gestito dalla Cloud Cam. Fino a quando la videocamera è offline, quindi, la serratura non si chiude.

 

Il “fattorino hacker”, come si vede nel video, potrebbe anche fare la consegna regolarmente, portare l’attacco nel momento in cui chiude la porta (ma prima che scatti la serratura) e rientrare senza che dalle registrazioni o dai log risulti nulla di strano.

Naturalmente non c’è bisogno che sia proprio il fattorino a introdursi nell’abitazione. Un malintenzionato potrebbe bloccare il sistema sperando, per esempio, che la persona che ha avuto accesso all’abitazione non si accorga della mancata chiusura della porta.

Ma c’è di più: il kit Amazon Key, come scrivono i ricercatori nel report, è compatibile con tre modelli di serrature elettroniche. Due di queste hanno un pulsante all’esterno che consente di chiudere la porta autonomamente, ma il terzo (Kwikset Convert) non lo ha.

Questo significa che in caso di malfunzionamento, senza una chiave “fisica” è impossibile chiudere la porta. Il fattorino si troverebbe quindi in una situazione decisamente spinosa: la porta di un cliente aperta e nessuna possibilità di chiuderla.

Quest’ultima ipotesi, però, non ha particolari implicazioni per la sicurezza. Se non quello di rovinare la giornata a un povero addetto alle consegne.

 

fonte

Colpo grosso col crypto-jacking: 1.500 siti infettati

Ennesimo episodio legato al Crypto-Jacking. Questa volta a inserire un JavaScript in grado di sfruttare i visitatori dei siti Web per generare cripto-valuta è stato un hacker (o un gruppo) che ha inserito CoinHive all’interno di un widget usato per fornire assistenza via chat sui siti Web.

L’operazione, però, è di quella che strappa applausi anche da parte dal ricercatore di sicurezza che lo ha individuato, che a denti stretti ha dovuto ammettere che il cyber-criminale autore dell’attacco ha messo a segno un vero colpo da maestro.

Come ha denunciato Troy Mursch in una serie di Tweet, il JavaScript galeotto questa volta è stato infatti inserito in un widget chiamato LiveHelpNow, usato da migliaia di siti Internet per offrire assistenza ai visitatori.

Perché la mossa è stata così efficace? Perché l’attacco è stato portato proprio nel giorno del ringraziamento, la festività che negli USA precede il Black Friday, la giornata in cui le catene commerciali (online e offline) offrono sconti sostanziosi sugli acquisti.

Risultato: non solo ha scelto il momento in cui il traffico sui siti contenenti il widget raggiungerà probabilmente il picco massimo, ma ha anche colto l’intervallo di tempo in cui, a causa della festività, è più difficile che qualcuno esegua controlli per individuare la presenza di eventuali componenti malevoli e abbia il tempo (o la voglia) di spendere ore per eliminarli.

D’altra parte il cryto-jacking non danneggia (almeno direttamente) il sito su cui è caricato, ma solo i visitatori. E ci sono anche buone probabilità che gli stessi non si accorgano di nulla. L’unico sintomo che si può rilevare è l’iper-attività del processore, che viene “sparato” al 100%.

dpxypi7u8aeehh6-768x417

Stando a quanto riportato dai ricercatori, che non hanno ancora potuto appurare se l’introduzione di CoinHive in LiveHelpNow sia stata opera di un hacker “esterno “ o di un dipendente che ha pensato di approfittare della situazione, il widget in questione sarebbe finito su più di 1.500 siti Internet.

Insomma: stando al calcolo delle probabilità, è possibile che l’autore dell’attacco incassi un bel po’ di Monero prima che il widget malevolo sia rimosso da tutti i siti.

 

FONTE

Tutto ciò che occorre sapere su Trojan Downloader, il malware che si finge Flash Player

malware possono assumere differenti forme per raggiungere i propri risultati: è proprio il caso di Trojan Downloader, il virus scoperto dal laboratorio di ricerca ESET – creatore dell’antivirus ESET Mobile Security per Android – capace di mascherarsi prima da aggiornamento per smartphone di Adobe Flash Player e successivamente da applicazione per il risparmio energetico, provocando così il furto di dati sensibili dell’utente.

Siete pronti per scoprire tutti i dettagli di Trojan Downlaoder, il malware che si maschera da Flash Player?

Che cos’è Trojan Downloader

Trojan Downloader è un malware trojan che sfrutta il sistema di maschermento per nascondere la propria natura maligna ed assumere differenti aspetti che possano catturare la fiducia dell’utente, per poi convincerlo ad assegnargli permessi che gli consentano di agire in maniera indipendente.

Adobe Flash Player su Android è stato rimosso da tempo

Stando ai rapporti generati da ESET, Trojan Downloader (il cui nome completo è Android/TrojanDownloader.Agent.JI) sarebbe principalmente un malware bancario in quanto punterebbe all’ottenimento delle credenziali d’accesso a conti correnti e sistemi di deposito di valuta virtuale o reale da inviare poi ai server dei propri sviluppatori; ciononostante, la sua struttura è tale da permettere la manipolazione del codice e dunque l’inserimento di qualsiasi obiettivo tra le proprie priorità.

Come Trojan Downloader attacca gli smartphone Android

Trojan Downloader è un malware che principalmente si trova all’interno di siti pornografici o persino nei social newtork sotto forma di link condivisi da profili fasulli o da pagine compromesse; il principale portale rimane comunque una falsa pagina web che, a nome di Adobe, inviterebbe l’utente ad eseguire l’installazione di un aggiornamento di Adobe Flash Player.

Qualora l’utente si lasciasse trarre in inganno – Adobe Flash Player è stato rimosso da Android sin dai tempi di Jelly Bean a favore del più rapido e responsivo HTML5 – il malware effettuerebbe la sua prima fase di attacco: così facendo infatti viene attivata, nella schermata delle notifiche, una voce “eccessivo consumo della batteria” per la cui disattivazione si richiede l’abilitazione di una fantomatica “modalità di risparmio energetico“. La funzionalità alla quale la notifica si riferisce non è certamente la modalità integrata dal produttore, ma un’applicazione fasulla installata dal malware.

Dato che l’utente non è in grado di eseguire un semplice swipe per eliminarla, il più delle volte non sospetterà la presenza di un imbroglio e si limiterà a tapparvici sopra, venendo rediretti al menu “Accessibilità” del sistema operativo. Qui il servizio “Saving battery” chiederà l’ottenimento dei permessi “Controllare le azioni dell’utente”, “Recuperare i contenuti delle finestre” e “Abilitare la funzione Esplora al Tocco”, senza i quali Trojan Downloader non sarebbe in grado di eseguire le proprie attività malevole. Terminata la fase di infiltrazione, il malware scompare dal device – eliminandosi dall’app drawer, ma non da “Impostazioni” > “App” – e procede con la seconda parte del proprio ciclo vitale.

I permessi assegnatigli gli consentono di comunicare con il proprio server di Comando & Controllo (C&C) che gli assegneranno le istruzioni da eseguire, quali il download di altre app infette o l’esecuzione di processi in background che permettano di prelevare password e credenziali da inviare ai propri server di destinazione, o anche l’installazione di ulteriori malware. Il tutto viene comunque eseguito sotto il velo di una falsa schermata di blocco che ne nasconde le attività criminose e non dovrebbe insospettire l’utente, e che verrà rimossa ad operazione conclusa.

Come difendersi da Trojan Downloader

Così come riporta ESET, Trojan Downloader si trova principalmente all’interno di siti pornografici nei quali si nascondono le principali minacce per un utente Android, e dunque vi invitiamo vivamente di limitarne il più possibile la frequentazione; qualora poi sospettaste di essere stati vittima del malware, potete subito verificare la sua presenza all’interno del dispositivo.

Basterà infatti accedere ad “Impostazioni” > “Avanzate” > “Accessibilità” e verificare che non venga visualizzato tra i servizi anche un pericoloso “Saving battery“; in tal caso occorrerà che procediate su “App” > “Flash-Player” e ne completiate la disinstallazione – è possibile che si sia procurato anche i permessi di amministratore di dispositivo, ed in tal caso dovrete revocarglieli attraverso il percorso “Impostazioni” > “Sicurezza” > “Amministratore dispositivo“.

Scopri QUI i migliori metodi per evitare malware su Android, PC e MAC!

Cerber ransomware, picco di infezioni in Italia

ESET lancia l’allarme: un ransomware già venuto alla ribalta la scorsa estate, sta registrando in queste settimane un picco di infezioni in Italia, unica nazione colpita a livello mondiale.

Cerber ransomware sta letteralmente dilagando nel nostro Paese con un numero di infezioni che cresce di giorno in giorno.

Così come altri ransomware, anche questa nuova variante di Cerber, una volta in esecuzione sul sistema, cifra i file personali degli utenti salvati su dischi fissi, unità SSD, supporti rimovibili, percorsi di rete e chiede di versare una somma in denaro per sbloccare i propri dati.

Cerber ransomware, picco di infezioni in Italia

Stando alla telemetria di ESET Live Grid il ransomware Cerber avrebbe fatto segnare una crescita fino che ha portato il malware al 25% di prevalenza nel giro di qualche settimana (e la tendenza è ancora in aumento).

Affinché il codice del ransomware venga eseguito sul sistema dell’utente, Cerber utilizza le solite tecniche: campagne spam/phishing (che invitano, utilizzando molteplici espedienti, ad aprire l’allegato malevolo), download da siti infetti, installazione mediante altri trojan.
Win32/Filecoder.Cerber.A – così è stato chiamato Cerber ransomware dai tecnici di ESET – utilizza l’algoritmo di cifratura RSA.
Sebbene non sia stata ancora comunicata la lunghezza della chiave utilizzata, è facile supporre che il ransomware abbia utilizzato almeno 2.048 oppure 4.096 bit.
Recuperare i file crittografati dal ransomware Cerber potrebbe rivelarsi un’operazione quasi impossibile, a meno di “leggerezze” di vario genere commesse in fase di sviluppo del malware.

Al momento, comunque, non esiste un tool di decodifica per la versione di Cerber che sta aggredendo gli utenti italiani.

Una volta in esecuzione, il ransomware Cerber provvede a rinominare con l’estensione .cerber i file crittografati quindi cancella tutte le copie shadow (le “versioni precedenti” degli stessi elementi).

Tor, DRM per svelare l’anonimato

Milano – Non è la prima volta che i creatori del malware sfruttano i sistemi DRM per veicolare codice sui computer vittima, ma quanto scoperto da Hacker House è un inedito: approfittare del meccanismo di gestione dei diritti di riproduzione dei file integrato in Windows Media Player per scavalcare l’anomimizzazione garantita da Tor. Uno strumento che ha almeno due livelli di efficacia, e che potrebbe anche essere sfruttato per cercare di tracciare attivisti politici che usano la rete della cipolla per coprire le proprie tracce in Rete.

TorBrowser decloak with WMV from Hacker Fantastic on Vimeo.

Il meccanismo funziona come segue: si induce la vittima a scaricare un file multimediale, magari fornendogli contenuti a cui potrebbe essere interessato secondo i suoi gusti personali, e gli si mette a disposizione un file in formato WMF con incoprorata una protezione DRM. La configurazione di default di Windows prevede che gli oggetti Windows Media File siano aperti da Windows Media Player: quello che fa questo software, nel caso in cui sia necessaria una chiave, è aprire un’istanza Internet Explorer per recuperare l’autorizzazione e consentire quindi la visione dei contenuti. In questo frangente è possibile iniettare un payload malware a bordo della macchina bersaglia.Secondo Hacker House, con questo meccanismo è possibile anche svelare l’IP di una macchina in teoria nascosta dietro gli strati della rete Tor: lo stratagemma è lo stesso, si sfrutta un file multimediale per costringere la vittima a ospitare suo malgrado del codice indesiderato sul suo PC. Codice che può essere usato per scavalcare le protezioni a garanzia dell’anonimato, a danno di chi necessità della propria privacy in Rete per qualsivoglia ragione.

Ancora secondo il racconto fatto da Hacker House, ci sono due diversi modi di attuare questo attacco: se il file multimediale non è firmato in modo ortodosso con gli strumenti offerti da Microsoft presenta una finestra di dialogo che chiede all’utente di consentire di andare online per ricevere l’autorizzazione – circostanza nella quale i più scafati potrebbero insospettirsi e fermare il processo prima che sia troppo tardi. Ma se si decide di usare la firma ottenibile tramite l’SDK di Microsoft, passaggio che richiede l’investimento di circa 10mila dollari per ottenere gli strumenti necessari, il procedimento può avvenire in modo completamente silente e passare inosservato.

Spendere 10mila dollari per attaccare un utente qualsiasi, soprattutto se l’attaccante è un creatore di malware di basso livello, potrebbe essere una spesa che non vale l’impresa: ma se dietro l’attacco di fosse una intelligence in cerca di indizi sull’identità e la localizzazione di un sospettato, la faccenda potrebbe essere molto differente. Scovare gli attivisti dell’ISIS che seminano propaganda su Internet, o rintracciare dissidenti politici che cercano di mantenere il proprio anonimato per proteggersi da un regime totalitario, pare alla portata di chi sia in grado di sfruttare questo espediente tecnico e mettendo in campo un minimo di ingegneria sociale per carpire i gusti e gli interessi della vittima.

FONTE

Nuovo attacco phishing ai danni di utenti Gmail

Roma – Gli utilizzatori del servizio di posta elettronica fornito da Google sono bersaglio di un nuovo attacco phishing. Il un nuovo metodo è pensato per estorcere dati d’accesso di utenti e al momento sta mietendo numerose vittime.

L’attacco è stato recentemente descritto da Mark Maounder, CEO di Wordfence, azienda che ha sviluppato un omonimo plugin di sicurezza per WordPress. Si tratta di una sofisticata tecnica “avvistata” già un anno fa, ma che solo nelle ultime settimane sta prendendo piede. Al momento non è chiaro se Google sia intenzionata a integrare nuovi filtri per intercettare questo tipo di attacchi e renderli inefficaci, anche se è plausibile pensare che i controlli saranno a breve resi più stringenti.

phishing

L’attacco viene sferrato mediante l’invio di una mail da un account già compromesso contenente uno screenshot o un’immagine relativa a un allegato usato in una recente comunicazione con il destinatario (ma sembra che anche l’anteprima di un PDF possa fare da aggancio). Quando il mittente clicca su questa immagine viene aperta una nuova schermata che chiede all’utente di loggarsi di nuovo a Gmail, come se si trattasse di una momentanea caduta di connessione. La tecnica phishing si basa sull’utilizzo di uno schema chiamato Data URI e sulla simulazione della pagina ufficiale di login. A questo punto l’utente meno accorto che dovesse riloggarsi finirebbe per condividere con l’aggressore le sue credenziali di accesso al sistema di posta, cadendo così nel tranello.L’attacco è ben studiato anche dal punto di vista formale. Viene infatti bypassato uno dei campanelli di allarme utili a evitare attacchi simili. Quando si viene dirottati su una pagina “non ufficiale” e potenzialmente dannosa, il nome a dominio che appare nella barra degli indirizzi del browser è palesemente diverso da quello normalmente utilizzato dal servizio reale. Ma non in questo caso: il nome che si legge sulla barra è infatti del tutto simile a quello vero(https://accounts.google.com/ServiceLogin?), semplicemente preceduto da una poco sospettabile stringa data.text/html. Per trarre ancora più in inganno l’utente, l’aggressore è in grado di far precedere l’indirizzo del dominio da https:// (protocollo di sicurezza sempre usato da Gmail), aumentando così l’efficacia dell’attacco.

Da quanto si apprende da una vittima, “gli aggressori si loggano immediatamente una volta ottenute le credenziali e usano un allegato recente accompagnato da un oggetto utilizzato di recente inviando mail alla tua lista di contatti”. La velocità di reazione lascia intendere che possa esistere un sistema automatizzato per concludere l’attacco o quanto meno la presenza di una folta squadra di persone preparate.

Questa minaccia insegna che è fondamentale adottare un comportamento cosciente online, prestando attenzione a tutti gli indicatori di sicurezzaa disposizione, da quelli più evidenti, come i messaggi di avvertimento di Google su potenziali rischi a navigare alcune pagine Web, fino a quelli meno evidenti come la correttezza del nome a dominio e il rispetto di parametri di sicurezza adottati da servizi online come nel caso della posta elettronica (la presenza dell’icona del lucchetto sulla barra degli indirizzi è ormai adottato dai moderni browser). Gmail offre anche un sistema di doppia verifica attivabile su ogni account ed è sempre possibile verificare le attività svolte nel proprio account semplicemente cliccando sulla voce “dettagli” presenti in basso a destra nella schermata principale.

 

 

FONTE

Una backdoor di WhatsApp consente a Facebook e governi di intercettarne i messaggi

whatsapp-backdoor-sicurezza-1-890x395_c

 

WhatsApp potrebbe consegnare le conversazioni degli utenti alle autorità, se richiesto

In seguito all’ultimo cambiamento della propria privacy policy Whatsapp è stato investito da una sequela di critiche e provvedimenti governativi che hanno di fatto impedito alla società proprietaria dell’applicazione, Facebook Inc., di ottenere qualsiasi dato riferito agli utenti dell’app di messaggistica da sfruttare per una maggiore indicizzazione delle pubblicità nel social network.

whatsapp-backdoor-sicurezza-3

La nuova backdoor scoperta dal ricercatore informatico Tobias Boelter, impiegato presso l’University of California, Berkeley, ha raccontato al quotidiano inglese the Guardian – non nuovo a questa tipologia di esclusive, se consideriamo che fu uno dei primi giornali ad essere contattato da WikiLeaks per la pubblicazione dei propri database – che WhatsApp possiederebbe una backdoor capace di mettere a rischio la sicurezza delle conversazioni degli utenti, e della quale Facebook sarebbe già al corrente dall’aprile dello scorso anno.

La backdoor sarebbe presente all’interno del sistema di invio dei messaggi, e dunque non coinvolgerebbe direttamente il protocollo di crittografia (Axolotl, lo stesso integrato nell’app Signal, Allo e Messenger nelle chat segrete): ogni messaggio, prima di essere inviato, viene trasmesso attraverso i server di WhatsApp che provvedono alla sua crittografia; qualora però il soggetto risulti offline, il messaggio verrà re-crittografato con una nuova chiave e nuovamente inviato, mentre il precedente testo rimarrà all’interno del database dell’applicazione.

Anche se ciò potrebbe lasciare supporre che solamente un messaggio potrebbe essere intercettato e non un’intera conversazione, sarebbe possibile ripetere il procedimento per intercettare l’intera chat, arguisce Boelter. Ciò significherebbe non soltanto che WhatsApp è formalmente in grado di archiviare le conversazioni – anche se in un caso specifico – ma che tale metodo potrebbe essere sfruttato dai governi per compiere intercettazioni. Non soltanto l’NSA, ma anche la Gran Bretagna di recente ha lanciato l’Investigatory Power Act che consente di intercettare messaggi in caso di indagini e che costringe le società a mantenere una backdoor sulle chat.

whatsapp-backdoor-sicurezza-2

L’unico sistema di difesa attualmente disponibile è la notificazione del cambiamento della chiave di sicurezza (“Impostazioni” > “Account” > “Sicurezza” > “Mostra notifiche di sicurezza“) così come la singola spunta che, se non visualizzata, potrebbe lasciare intendere ad un’intercettazione di questo tipo poichè i messaggi intercettati presentano solamente una spunta.