skip to main | skip to sidebar
11 commenti

Non lasciate incustodito il vostro smartphone e non prestatelo, specialmente se usate WhatsApp

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Tenere d'occhio lo smartphone è una raccomandazione ovvia, eppure capita spesso di vedere utenti che disinvoltamente lo prestano ad amici o semplici conoscenti per permettere loro di mandare un messaggio sui social oppure lo lasciano addirittura incustodito confidando nel blocco dello schermo. Ma c'è una tecnica che consente di usare quei pochi istanti di distrazione per rubare un account WhatsApp, secondo The Hacker News.

Tutto quel che serve è sapere il numero di telefonino della vittima e avere accesso al suo smartphone (non importa se iPhone, Android o Windows Phone), anche se è bloccato. Non è una vulnerabilità di WhatsApp: è una caratteristica del funzionamento del suo sistema di gestione degli account.

In sintesi, l'aggressore crea su un telefonino nuovo un account WhatsApp usando il numero di telefono della vittima. Durante il processo di creazione dell'account, WhatsApp chiama il telefonino della vittima e fornisce un PIN che serve per autenticare l'account; all'aggressore basta rispondere alla chiamata e memorizzarne il PIN. Tutto qui.

L'unico rimedio pratico è non lasciare mai incustodito il proprio smartphone. Come capita spesso in informatica, se l'aggressore ottiene un accesso fisico, non c'è software che tenga.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (11)
Quello del furto di identità su whatsapp è un caso serio, tuttavia disponendo del cellulare anche per pochi secondi è possibile attivare ogni sorta di servizio con verifica via SMS o codice via telefono. Ad esempio molti fornitori VoIP, previa verifica, consentono di utilizzare il proprio numero di telefono mobile per fare chiamate in uscita. Il "furto" del proprio callerid è cosa abbastanza grave e di difficile risoluzione.
Non capisco bene cosa è il broblema, ma ho appena pranzato e sono un po' rallentato :-)

No, veramente, non capisco come funziona sto giochino. Se qualcuno, con un telefonino che NON ha Whatsapp, crea un account nuovo usando il mio numero di telefono (io ho già whatsapp), sul mio telefono arriva un PIN per confermare l'account. Ma poi se lui inserisce questo codice nel telefono "nuovo", vede anche i miei messaggi che ricevo? Come se li ricevessi su due telefoni contemporaneamente? E Whatsapp non si accorge, al momento che riceve la richiesta di un nuovo account, che con il mio numero esiste già un account attivo?
In realtà Android ha abilitato, dalla versione 5.0, la possibilità di mostrare le notifiche nel blocco schermo con PIN, password o altri tipi di riconoscimento utente, ma con titolo e testo "nascosto" e mostrato solo previo sblocco.
WhatsApp e' un probema di sicurezza e privacy non da poco.
Oltretutto per la legge ita l'uso e' punibile con una reclusione di 3 mesi.
Ricordo che non solo WA traccia la vostra vita con il GPS e sarebbe in grado anche di fare data mining sulle vs conversazioni ma 2 velte al di spara la vs rubbrica in USA.

Tutto questo per fare meno cose e in maniera piu' bizzarra di un icq qualsivoglia.
misteri degli utonti
http://allarovescia.blogspot.it/2014/02/big-brother-fb.html
Non mi è chiaro se ti sei perso qualcosa traducendo l'articolo, se l'articolo originale sia stato aggiornato in seguito, o se vuoi dare apposta informazioni non precise per evitare di rendere troppo facile la vita a chi ne voglia approfittare;)

La tecnica descritta nell'articolo originale non utilizza l'invio del PIN tramite SMS, dal momento che se lo schermo è sbloccato molti sistemi non mostrano il contenuto delle notifiche (di sicuro Android da Lollipop in poi fa la domanda quando si imposta il blocco schermo, prima non ricordo, credo ci fosse da attivare l'opzione).
Nell'articolo originale il PIN veniva ricevuto tramite una chiamata, e quella per forza di cose è ricevibile anche con lo schermo bloccato.
Whatsapp viene disattivato sul telefono della 'vittima' se si attiva lo stesso numero su un altro device!!
Per iPhone:
Impostazioni->Notifiche->Messaggi->Vedi in "Blocco schermo": disattivato.
Idem per uozzapp o altre app di cui non si vuole mostrare la notifica in blocco schermo.
E in effetti uozzapp non consente l'uso dell'app con due telefoni contemporaneamente.
Tukler,

ho corretto l'articolo: errore mio. Grazie.


Blu-flame,

Oltretutto per la legge ita l'uso e' punibile con una reclusione di 3 mesi.

L'uso di cosa?
L'uso di cosa?

Credo si riferisca alla legge sulla privacy: WA, ma non solo, non potrebbero avere accesso anche ai numeri delle persone non iscritte allo stesso servizio.
Siccome WA ti avvisa di ciò, di fatto trasmetti i dati di persone che, ti hanno dato il loro numero, ma non il consenso di trasmetterlo a terzi.

Anch'io mi sono posto spesso questa domanda: ma se un mio conoscente scopre che uso un servizio tipo WA, oppure salvo la mia rubrica sui server Apple o Google, e il tizio in questione non è d'accrodo mi fa passare i guai?

Io temo di sì.
ma se un mio conoscente scopre che uso un servizio tipo WA nel quale io ho COMUNICATO la rubbrica ad un fornitore di servizi il quale utilizza il dato in maniera non aggregata (aka per sapere chi conosce chi) schiaffandolo bellamente in un DB potrei, se prendo alla lettera la 196/03, passare dei guai. Tipo 3 mesi di reclusione.

Se salvo la mia rubrica sui server Apple o Google il database e' MIO, di mia lettura esclusiva (almeno ufficialmente, vedi snowden) e lo tratto con rigore, ovvero non condivido il contenuto del server con altri e' tutto ok.
In realta' dovresti fare una comunicazione della gestione ma e' opinabile.

Stiamo a fare un pandemonio per 4 biscottini di m. e poi facciamo tracciare milioni di persone con GPS e interazioni sociali. Proporzionamente le teste di cuoio dovrebbero mettere un'atomica nel quartier generale di WA.

Prossimamente faro' un database di impronte digitali. Ma senza cookie.
:-)
Interessante! La cosa strana è che in genere la privacy offerta dal bloccaschermo è abbastanza intelligente, perché lascia fare all'utente solo quelle operazioni che non violano la privacy (ad esempio si può scattare foto con la fotocamera, ma non si può accedere all'archivio delle foto già fatte).

Al tempo stesso però mi ero accorto come troppo spesso le notifiche mostrano il testo dei messaggini anche a schermo bloccato! Per fortuna ho visto che almeno nelle ultime versioni di Android è possibile andare nelle impostazioni e oscurare i contenuti delle notifiche, ora che ho attivato questa opzione tutto quello che si può vedere a schermo bloccato è l'applicazione che ha inviato la notifica, ma non il contenuto.

Lì per lì non lo vedevo come un problema di sicurezza, ma solo come un problema di privacy: non mi piace molto l'idea che qualcuno possa leggere il testo di un messaggio pensato "solo per i miei occhi"!