WhatsApp Web, a rischio la sicurezza degli utenti. (Quasi) fuori pericolo Telegram Web

WhatsApp Web, a rischio la sicurezza degli utenti. (Quasi) fuori pericolo Telegram Web

La società di sicurezza CheckPoint ha svelato una vulnerabilità sulle piattaforme web di WhatsApp e Telegram che potrebbe consentire ad utenti malintenzionati di prendere il controllo degli account dei due servizi. Telegram smentisce, parzialmente, le accuse

di Nino Grasso pubblicata il , alle 12:11 nel canale Sicurezza
WhatsApp
 

Con oltre 1 miliardo di utenti, WhatsApp è il servizio di messaggistica più diffuso al mondo. Dall'altra parte della barricata una delle proposte emergenti più significative è Telegram, che da solo conta 100 milioni di utenti attivi mensilmente e 15 miliardi di messaggi scambiati al giorno. I due servizi dispongono di piattaforme web che consentono agli utenti di accedere alle loro conversazioni via browser web. Piattaforme che, secondo i ricercatori di Check Point, contenevano gravi vulnerabilità.

Sfruttando la vulnerabilità nelle piattaforme online di WhatsApp e Telegram, gli hacker potevano prendere il controllo completo sugli account e accedere alle conversazioni personali e di gruppo delle vittime, alle foto, ai video e agli altri file condivisi, alla lista dei contatti e molti altri contenuti. Il malintenzionato avrebbe potuto inviare alla vittima del codice malevolo nascosto all'interno di un'immagine apparentemente innocua e bastava cliccare su di essa per compromettere il proprio account.

Cliccando sull'immagine infatti "l'hacker" riceveva l'accesso ai dati archiviati dell'account WhatsApp o Telegram, spiega CheckPoint, come ad esempio quelli relativi ai contatti. In questo modo avrebbe potuto inviare loro immagini compromesse e creare un attacco potenzialmente diffuso. La società di sicurezza ha inviato tutta la documentazione della vulnerabilità lo scorso 8 marzo 2017 alle due società coinvolte, che hanno prontamente rilevato il problema di sicurezza e sviluppato una correzione.

"Questa nuova vulnerabilità espone centinaia di milioni di utenti WhatsApp Web e Telegram Web al rischio di vedersi sottrarre il proprio account", le parole di Oded Vanunu di Check Point. "Inviando semplicemente una foto dall'aspetto innocente, un utente malintenzionato potrebbe ottenere il controllo sull'account, accedere alla cronologia dei messaggi, a tutte le foto che sono state condivise, e inviare messaggi per conto dell’utente".

"WhatsApp e Telegram hanno risposto in modo rapido e responsabile e hanno rilasciato una mitigazione contro lo sfruttamento di questa falla in tutti i client web". Le due app utilizzano la crittografia end-to-end come misura di sicurezza, e paradossalmente è stata proprio questa caratteristica ad impedire ai tecnici delle compagnie di accorgersi della presenza della falla. Non potendo vedere i contenuti degli utenti sono stati incapaci di impedire l'invio di messaggi malevoli.

Il fix comprende la possibilità di convalidare un contenuto prima dell'esecuzione della protezione crittografica sul file, convalida che permette di bloccare sul nascere eventuali tentativi di compromissione.

Ha prontamente risposto alle accuse il team assistenziale di Telegram, con un implicito messaggio di marketing ben preciso: la vulnerabilità mette a rischio solo ed esclusivamente gli utenti di WhatsApp Web, mentre quelli di Telegram Web sono quasi del tutto fuori pericolo. Su WhatsApp infatti, specificano i tecnici del concorrente, è sufficiente aprire una foto per compromettere il proprio account, mentre su Telegram bisogna eseguire una serie di azioni "inusuali".

La società sostiene di non aver "mai avuto questo problema", anche se il problema di fatto c'era anche se era di difficile riproduzione in un contesto d'uso reale. Fra le azioni inusuali bisognava: premere Play alla ricezione di un video malevolo ed utilizzare Chrome (gli altri browser non erano affetti dal problema), cliccare sul tasto destro sul video e selezionare Apri in una nuova scheda: "Se sei un utente di Telegram e usi il client web invece delle app desktop, cerca di ricordare se hai mai eseguito la combinazione appena descritta", scrive la società in una nota. "Se, come tutti noi, non hai mai fatto nulla del genere, tutta questa situazione non significa nulla per te".

In maniera molto aggressiva Telegram punta il dito contro la concorrente, sottolineando e minimizzando invece il problema avvenuto sul proprio servizio.

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matteop316 Marzo 2017, 12:35 #1
Le due app utilizzano la crittografia end-to-end come misura di sicurezza, e paradossalmente è stata proprio questa caratteristica ad impedire ai tecnici delle compagnie di accorgersi della presenza della falla. Non potendo vedere i contenuti degli utenti sono stati incapaci di impedire l'invio di messaggi malevoli.

Non mi risulta che Telegram utilizzi la crittografia end-to-end (se non per le chat segrete, comunque non presenti in Telegram Web). Non so da chi arrivi, ma sinceramente questa mi sembra una spiegazione un po' campata per aria.
Shertes16 Marzo 2017, 14:23 #2
Originariamente inviato da: matteop3
Non mi risulta che Telegram utilizzi la crittografia end-to-end (se non per le chat segrete, comunque non presenti in Telegram Web). Non so da chi arrivi, ma sinceramente questa mi sembra una spiegazione un po' campata per aria.


Allora dovresti informarti di più. WA ha introdotto la crittografia end-to-end proprio per accorciare le distanze da TG, che la utilizza da sempre. Ultimamente sta anche cercando di introdurre un ulteriore livello di sicurezza con la crittografia peer-to-peer
matteop316 Marzo 2017, 15:11 #3
Originariamente inviato da: Shertes
Allora dovresti informarti di più. WA ha introdotto la crittografia end-to-end proprio per accorciare le distanze da TG, che la utilizza da sempre. Ultimamente sta anche cercando di introdurre un ulteriore livello di sicurezza con la crittografia peer-to-peer

Telegram utilizza la crittografia e2e solo per le chat segrete (che comunque vengono utilizzate pochissimo rispetto a quelle normali), le chat normali sono in cloud e i loro server ne hanno libero accesso, quindi per definizione non c'è e2e. Il dubbio in questo caso non si pone nemmeno, dato che con Telegram Web non è possibile utilizzare le chat segrete.

Basta leggere le loro stesse FAQ, eh.
inited16 Marzo 2017, 16:34 #4
Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.
nastys16 Marzo 2017, 19:23 #5
Originariamente inviato da: inited
Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.


Le avevano sequestrato il telefono (in questo modo rendendo inutile anche un'eventuale crittografia e2e)
Infatti penso che se ne sarebbe accorta se qualcuno avesse effettuato l'accesso al suo account (dato che arriva un messaggio su ogni dispositivo ad ogni nuovo accesso) ma comunque avrebbe potuto impostare una password aggiuntiva.
Le chat normali di Telegram sono comunque fortemente criptate e nelle FAQ è specificato che le chiavi sono sparse per il globo, quindi difficilmente possono essere obbligati legalmente a fornirle.
andrew0416 Marzo 2017, 19:50 #6
Originariamente inviato da: inited
Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.


A prescindere che, come detto già da matteo, le chat cloud non hanno crittografia end-to-end... quelle riguardanti Marra sono state acquisite con il sequestro dello smartphone dello stesso, nessuna intercettazione
La chat è stata acquisita dalla Procura di Roma dopo il sequestro del cellulare di Raffaele Marra

http://www.ilfattoquotidiano.it/pre...e-tuo-fratello/
postillo16 Marzo 2017, 19:58 #7
molto meglio Signal dal punto di vista della sicurezza e della privacy
nastys16 Marzo 2017, 21:37 #8
Originariamente inviato da: postillo
molto meglio Signal dal punto di vista della sicurezza e della privacy


In pratica è come Telegram usando solo chat segrete (quindi niente Cloud) e con meno funzionalità.
Erotavlas_turbo16 Marzo 2017, 22:32 #9
Come fatto notare su Telegram era meno grave rispetto a Whatsapp e poteva colpire solo utenti su Chrome.
Una buona comparativa sulla sicurezza delle applicazioni...

Vi ricordo che le chat di Whatsapp possono essere lette da terze parti...

Al momento l'app più sicura è Signal, da tenere sott'occhio Wire e Riot.
nastys17 Marzo 2017, 11:44 #10
Originariamente inviato da: Erotavlas_turbo
Come fatto notare su Telegram era meno grave rispetto a Whatsapp e poteva colpire solo utenti su Chrome.


E oltretutto bisognava fare click destro sul video e aprirlo in una nuova scheda.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^