Torniamo a parlare di problemi di sicurezza relativi al social network piรน famoso ed utilizzato al mondo: Facebook, anche se possiamo dire che non si tratta di responsabilitร diretta del colosso americano
A quante persone capita di aver smarrito la password del servizio e non riescono piรน ad entrare nel sito? Sicuramente a molti di noi, giusto?
Ecco. E come facciamo per recuperarla?ย Beh ci sono due strade consentite da facebook:ย la primaย รจ quella del recupero tramite email e la seconda tramite il numero di cellulare inserito (che facebook ci chiede con insistenza una volta registrati)
Se per recuperare la password scegliamo la 2ยฐ strada, cioรจ quella del recupero tramite numero di cellulare, Facebook esegue l’operazione di invio automatico di un SMS con all’interno un codice di verifica che poi ci servirร per reimpostare la password.
Fino a qui sicuramente vi sarร tutto chiaro e assai familiare visto che molti siti utilizzano il numero diย cellulare per effettuare dei recuperi di account la cui password รจ andata persa!
Ma c’รจ un problema, quale?
C’รจ una vulnerabilitร nel sistema chiamato “SS7“. Cos’รจ? SS7, anche noto come Signaling System #7, รจ un set standardizzato di protocolli di segnalazione usati nelle reti telefoniche PSTN (Public Switched Telephone Network) mondiali per gestire le chiamate.
Il suo principale obiettivo รจ quello di gestire l’attivazione e la chiusura delle chiamate. Altri utilizzi di questo sistema di segnalazione sono la gestione dei servizi SMS (Short Message Service), la traduzione del numero chiamato o chiamante (number translation) e una ampia gamma di servizi aggiuntivi ormai appannaggio dei clienti di molte delle reti telefoniche mondiali.
Laย vulnerabilitร consente,ย di fatto, di deviare un SMS da un numero a un altro. Ora, รจ facile immaginare cosa succede se viene “smistato” il contenuto di questo sms(con all’interno il codice facebook) da un numero di cellulare all’altro specie se questo fosse un cybercriminale.
Di fatto avrebbero in mano il vostro account facebook
Si perchรจ a quel punto per il criminale sarebbe un gioco da ragazzi re-impostare la password del social network edย impossessarsi dellโaccount. Tutto questo conoscendo solo il numero di cellulare registrato dalla vittima (pensateci, nel 99% dei casi inserite su facebook il numero che usate quotidianamente)
Nonย vogliamoย accusare facebook visto che il problema sta nello standard SS7 e non รจ una loro creazione evidentemente. Anche altri colossi lo utilizzano, Whatsapp,ย Telegram solo per farvi dei nomi eccellenti
Logicamente non tutti sono in grado di inserirsi in questa falla ma vi possiamo dire che uno smanettone medio, con dei software, รจ in grado di farlo. Ovviamente non vogliamo creare nessun allarmismo particolare.
Magari, per maggiore sicurezza, vi consigliamo di attivare l’autenticazione in due passaggiย introdotta dal social network e reperibile tra le impostazioni di facebook.
Ti potrebbero interessare:
