Telegram violato, privacy compromessa da hacker iraniani

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/telefon...ani_63926.html

Il servizio di messaggistica istantanea è stato "bucato" in Iran per via di una falla nel sistema di autenticazione via SMS

Click sul link per visualizzare la notizia.

[Eress]

Più o meno so stati tutti violati, FB compreso. Addirittura sui metodi di hackeraggio FB, ci sono delle guide online liberamente consultabili

http://www.aranzulla.it/come-rubare-...facebook-26992.

Ormai non esiste più distinzione tra hacker privato e hackeraggio di stato. Il controllo e spionaggio sono globalizzati anche quelli

[Il_Baffo]

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS
2) non viene spiegato come hanno intercettato gli sms

[inkpapercafe]

Vabbè, Aranzulla ha la medesima credibilità di Muciaccia con colla e forbici arrotondate

[travelmatto]

Quote:

Originariamente inviato da inkpapercafe

Vabbè, Aranzulla ha la medesima credibilità di Muciaccia con colla e forbici arrotondate

In effetti, citare Aranzulla in un forum più "tecnico" mi sembra un po' esagerato...

[matrix83]

Citare Aranzulla per cose serie è come usare Sasha Grey per una campagna sulla verginità.

[Eress]

Era una citazione volontariamente provocatoria ecchediamine!
Ma poi come spiegato nell'articolo, il sistema non è stato effettivamente violato, ma solo gli sms di verifica. Per altri casi invece si è trattato di reale hackeraggio.

[floc]

Ussignur anche qui... Hanno violato la compagnia telefonica (o meglio, probabilmente e' in combutta con il governo). Altro che violato telegram, se becco l'sms di verifica violo quello che voglio, e' una violazione del canale out of band usato per l'autenticazione e il programma e' indifferente. Questo articolo e' SBAGLIATO, da hwu mi aspetterei che si leggessero le notizie di altri con occhio clinico prima di ripubblicarle.

[matteop3]

Quote:

Originariamente inviato da Il_Baffo

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS

No, però all'atto pratico milioni di account sono stati violati.

Quote:

2) non viene spiegato come hanno intercettato gli sms

Flaw SS7.

Quote:

Originariamente inviato da floc

Ussignur anche qui... Hanno violato la compagnia telefonica (o meglio, probabilmente e' in combutta con il governo). Altro che violato telegram, se becco l'sms di verifica violo quello che voglio, e' una violazione del canale out of band usato per l'autenticazione e il programma e' indifferente. Questo articolo e' SBAGLIATO, da hwu mi aspetterei che si leggessero le notizie di altri con occhio clinico prima di ripubblicarle.

L'articolo non ha tutti i torti a "bacchettare" Telegram.
Essendo il problema degli SMS è verissimo che potrebbe succedere anche con qualsiasi altro messenger, ma se fosse successo con un servizio non cloud-based (come Signal o WA) tutta la cronologia della chat precedente al momento dell'attacco sarebbe stata al sicuro.

[floc]

ma cosa c'entra? E' un difetto di design che hanno tutti quelli con la doppia autenticazione, dropbox compreso per dirne uno a caso... Esordire con "hanno bucato telegram" e' semplicemente sbagliato, al limite hanno "attaccato telegram". Che peraltro da quel che so (non lo uso) avverte appena un device si connette al pool di quelli abilitati per l'account

[FirePrince]

Telegram non c'entra niente, anche perche' consente l'autenticazione a due passaggi, con la quale anche se l'sms fosse intercettato non sarebbe possibile accedere a conversazioni o altro.

[Il_Baffo]

Quote:

Originariamente inviato da matteop3

No, però all'atto pratico milioni di account sono stati violati.


Flaw SS7.


L'articolo non ha tutti i torti a "bacchettare" Telegram.
Essendo il problema degli SMS è verissimo che potrebbe succedere anche con qualsiasi altro messenger, ma se fosse successo con un servizio non cloud-based (come Signal o WA) tutta la cronologia della chat precedente al momento dell'attacco sarebbe stata al sicuro.

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM

[Eress]

Quote:

Originariamente inviato da Il_Baffo

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

[floc]

e' un attacco mirato per questioni politiche locali. Il resto e' solo cattiva informazione secondo me.

[matteop3]

Quote:

Originariamente inviato da Eress

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram,

Forse perché il bersaglio in questo caso è stato Telegram? XD
Inoltre per quel che ho scritto un po' più sopra: i servizi cloud sono ancora più critici a questo tipo di violazioni perché mettono a rischio la cronologia integralmente e non solo quella futura.

Quote:

che poi è il più sicuro di tutti in fatto di crittografia e anonimato,

No nel modo più assoluto, anzi, è uno dei peggiori in tal senso.
In primis non è possibile parlare di anonimato quando ti registri col numero di telefono, inoltre è ormai parere diffuso di molti crittografi che la crittografia end-to-end di Telegram lasci molto a desiderare. Senza contare che Telegram la utilizza solo se scegli le chat segrete (quindi quasi mai), le chat normali sono in chiaro ai loro server.
Invece servizi non cloud come Signal o WhatsApp utilizzano un molto più solido protocollo crittografico end-to-end di default.

Quote:

dove c'è anche l'auto cancellazione dei messaggi.

Secondo me non è un valore aggiunto così rilevante, eluderla è facilissimo.

[Il_Baffo]

Quote:

Originariamente inviato da Eress

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

Ho linkato quel video perché era IT, ma nel canale ci sono anche WhatsApp, Facebook, ...
https://www.youtube.com/user/tbthoma...arch?query=ss7

[marcopalestra]

Quote:

Originariamente inviato da Eress

Appunto, sistema universale. Non capisco perchè quei due ci hanno tirato dentro solo Telegram, che poi è il più sicuro di tutti in fatto di crittografia e anonimato, dove c'è anche l'auto cancellazione dei messaggi. Mi sembra un attacco mirato.

Tanto per dire ho fatto un nuovo account Whatsapp e mi è arrivato il codice di conferma via SMS quindi qua han voluto fare un bel bait

[Erotavlas_turbo]

Quote:

Originariamente inviato da Il_Baffo

Vero, ma il problema per me è solo nel titolo.
Avrebbe dovuto essere "Telegram violato SMS violati, account di Telegram compromessi da hacker iraniani".

UPDATE:
Grazie della info su SS7, praticamente quelli "duplicano" il numero telefonico quindi praticamente quelunque servizio è a rischio.
Per chi fosse interessato qui c'è la dimostrazione video http://youtu.be/dkvQqatURdM

Si attacco al quale anche Whatsapp e Signal sono soggetti e non immuni. Telegram con la doppia autenticazione attiva diventa immune.

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Forse perché il bersaglio in questo caso è stato Telegram? XD
Inoltre per quel che ho scritto un po' più sopra: i servizi cloud sono ancora più critici a questo tipo di violazioni perché mettono a rischio la cronologia integralmente e non solo quella futura.


No nel modo più assoluto, anzi, è uno dei peggiori in tal senso.
In primis non è possibile parlare di anonimato quando ti registri col numero di telefono, inoltre è ormai parere diffuso di molti crittografi che la crittografia end-to-end di Telegram lasci molto a desiderare. Senza contare che Telegram la utilizza solo se scegli le chat segrete (quindi quasi mai), le chat normali sono in chiaro ai loro server.
Invece servizi non cloud come Signal o WhatsApp utilizzano un molto più solido protocollo crittografico end-to-end di default.


Secondo me non è un valore aggiunto così rilevante, eluderla è facilissimo.

Sempre la stessa discussione già vista qui, inutile ribadire.

[PuppinoCbr]

Quote:

Originariamente inviato da Il_Baffo

1) telegram non è stato bucato, semmai è stato violato il sistema di SMS
2) non viene spiegato come hanno intercettato gli sms

Tutto vero. In questo modo anche gmail e qualsiasi altro sistema che sfrutta la verifica tramite sms può essere violato qualora ci fosse l'appoggio del gestore telefonico.

In Telegram, però, si può arginare il problema con la doppia verifica (sms+password, che ha sempre usato anche il sottoscritto).