skip to main | skip to sidebar
7 commenti

Telegram “violato”, le precauzioni da prendere

Ha fatto scalpore la notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.

Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.

Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la verifica in due passaggi introdotta da Telegram l’anno scorso.

L’identificazione di massa degli utenti, invece, è stata liquidata da Telegram come un non problema, perché “sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.

Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.

Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il contenuto delle sue comunicazioni ma sfruttando soltanto i metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.


Fonti: Sophos, @pwnallthethings.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (7)
"[...] consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto."

Non tutti usano Telegram per la cifratura. Molti (la maggior parte?) lo utilizzano solo perché più comodo e funzionale rispetto alle alternative (vedi whatsapp).
Simpatico anche il modo in cui Telegram, nelle sue FAQ, invita a scegliere una password robusta ma facile da ricordare:
https://xkcd.com/936/
(in 20 anni di sforzi, abbiamo addestrato tutti ad usare password difficili da ricordare per gli umani, facili da indovinare per i computer) :D
(premesso, in Italia è sempre dobblio fare le premesse, che uso anche telegram).
Non è vero che solo telegram cifra i dati. Ora anche whatsup lo fa. Secondo se, come viene scritto nell'articolo, un governo può sapere chi ha partecipato ad una manifestazione, lo può sapere dal solo fatto di avere un cellulare acceso in quella zona. Credo che già quello sia una inforazione sufficiente per farlo classificare come "nemico del governo" più che sapere che usa Telegram.
@DanieleDS:
Rispetto a WA siamo sempre a 1/10 come numero di utenti. Questo significa che se almeno 9 contatti su 10 della mia rubrica del telefono usano WA, statisticamente forse 1 su 10 userà Telegram.
Per un programma di messaggistica la diffusione non è certo un aspetto secondario.
Se hai modo di metter naso nei dati degli operatori telefonici non vedo quale servizio di messaggistica sia sicuro, dato che ormai tutti usano il numero di tel o come vero e proprio login (alla Whatsapp), o per il recupero di quest'ultimo.

Fermo restando che se ci fosse in ballo la mia vita non affiderei un messaggio ad una app scaricata da uno store ed usata da milioni di utenti.

Io per gli stickers, figurati!!
"Avendo i numeri di telefonino degli utenti Telegram"
Ma si parla di numeri telefonici o di ID? Sapevo di Id, che effettivamente si possono ricavare con i vari bot disponibili per amministrare gruppi (come Samus Aran, Group Help, Group Boutler) con un semplice comando "id".
Se fossero numeri telefonici, la cosa sarebbe più grave...