Facebook, per violare il vostro account basta il numero di cellulare

Torniamo a parlare di problemi di sicurezza relativi al social network più famoso ed utilizzato al mondo: Facebook, anche se possiamo dire che non si tratta di responsabilità diretta del colosso americano

A quante persone capita di aver smarrito la password del servizio e non riescono più ad entrare nel sito? Sicuramente a molti di noi, giusto?

Ecco. E come facciamo per recuperarla? Beh ci sono due strade consentite da facebook: la prima è quella del recupero tramite email e la seconda tramite il numero di cellulare inserito (che facebook ci chiede con insistenza una volta registrati)

Se per recuperare la password scegliamo la 2° strada, cioè quella del recupero tramite numero di cellulare, Facebook esegue l’operazione di invio automatico di un SMS con all’interno un codice di verifica che poi ci servirà per reimpostare la password.

Fino a qui sicuramente vi sarà tutto chiaro e assai familiare visto che molti siti utilizzano il numero di cellulare per effettuare dei recuperi di account la cui password è andata persa!

Ma c’è un problema, quale?

C’è una vulnerabilità nel sistema chiamato “SS7“. Cos’è? SS7, anche noto come Signaling System #7, è un set standardizzato di protocolli di segnalazione usati nelle reti telefoniche PSTN (Public Switched Telephone Network) mondiali per gestire le chiamate.

Il suo principale obiettivo è quello di gestire l’attivazione e la chiusura delle chiamate. Altri utilizzi di questo sistema di segnalazione sono la gestione dei servizi SMS (Short Message Service), la traduzione del numero chiamato o chiamante (number translation) e una ampia gamma di servizi aggiuntivi ormai appannaggio dei clienti di molte delle reti telefoniche mondiali.

La vulnerabilità consente, di fatto, di deviare un SMS da un numero a un altro. Ora, è facile immaginare cosa succede se viene “smistato” il contenuto di questo sms(con all’interno il codice facebook) da un numero di cellulare all’altro specie se questo fosse un cybercriminale.

Di fatto avrebbero in mano il vostro account facebook

Si perchè a quel punto per il criminale sarebbe un gioco da ragazzi re-impostare la password del social network ed impossessarsi dell’account. Tutto questo conoscendo solo il numero di cellulare registrato dalla vittima (pensateci, nel 99% dei casi inserite su facebook il numero che usate quotidianamente)

Non vogliamo accusare facebook visto che il problema sta nello standard SS7 e non è una loro creazione evidentemente. Anche altri colossi lo utilizzano, WhatsappTelegram solo per farvi dei nomi eccellenti

Logicamente non tutti sono in grado di inserirsi in questa falla ma vi possiamo dire che uno smanettone medio, con dei software, è in grado di farlo. Ovviamente non vogliamo creare nessun allarmismo particolare.

Magari, per maggiore sicurezza, vi consigliamo di attivare l’autenticazione in due passaggi introdotta dal social network e reperibile tra le impostazioni di facebook.




Reply