Signal è sicuro, parola di hacker!

Il 15 agosto, il team di Signal ha comunicato che alcuni hacker sconosciuti hanno attaccato gli utenti del servizio di messaggistica omonimo. Oggi vi spieghiamo perché questo incidente mette in luce i vantaggi di Signal rispetto ad altre app di messaggistica.

Cosa è successo?

Secondo la dichiarazione rilasciata da Signal, l’attacco ha colpito circa 1.900 utenti dell’app. Dato che Signal vanta più di 40 milioni di utenti attivi al mese, l’incidente ha interessato solo una piccola parte di loro. Detto questo, Signal è utilizzato prevalentemente da coloro che si preoccupano molto della privacy delle loro comunicazioni. Quindi, anche se l’attacco ha colpito una porzione ridotta di utenti, ha comunque avuto una certa risonanza nel mondo della sicurezza informatica.

A seguito dell’attacco, gli hacker sono stati in grado di accedere all’account delle vittime mediante un altro dispositivo o hanno potuto scoprire che il proprietario di un particolare numero di telefono utilizza Signal. Tra questi 1.900 numeri, gli hacker erano particolarmente interessati a tre, per cui Signal è stata informata da uno di questi tre utenti che il loro account era stato attivato su un altro dispositivo a loro insaputa.

Come è successo?

Sulle pagine di Kaspersky Daily abbiamo spesso parlato del fatto che Signal è un’app di messaggistica sicura, eppure l’attacco è andato a buon fine. Questo significa che la sua rinomata sicurezza e privacy siano solo un mito? Vediamo come si è svolto l’attacco e che ruolo ha avuto Signal.

Partiamo dal fatto che gli account di Signal, come quelli di WhatsApp e Telegram, sono collegati a un numero di telefono. È una pratica comune, ma non universale. Ad esempio, l’app Threema, considerata sicura, afferma con orgoglio, facendone uno dei suoi punti di forza, di non vincolare gli account ai numeri di telefono. Su Signal, il numero di telefono è necessario per l’autenticazione: l’utente inserisce il proprio numero di telefono, al quale viene inviato un codice in un messaggio di testo. Il codice deve essere inserito e se è corretto, significa che l’utente possiede effettivamente quel numero.

L’invio di questi messaggi di testo con codici monouso è gestito da aziende specializzate che forniscono lo stesso metodo di autenticazione a più servizi. Nel caso di Signal, il provider è Twilio, ed è proprio questa società che gli hacker hanno preso di mira.

Il passo successivo è stato il phishing. Alcuni dipendenti di Twilio hanno ricevuto messaggi in cui si diceva che le loro password erano apparentemente vecchie e che era necessario aggiornarle. Per farlo, sono stati invitati a cliccare su un link di phishing. Un dipendente ha abboccato all’esca, è andato sul sito fasullo e ha inserito le proprie credenziali, che sono cadute direttamente nelle mani degli hacker.

Queste credenziali hanno dato loro accesso ai sistemi interni di Twilio, consentendo loro di inviare messaggi di testo agli utenti e di leggerli. Gli hacker hanno quindi utilizzato il servizio per installare Signal su un nuovo dispositivo: hanno inserito il numero di telefono della vittima, intercettato il testo con il codice di attivazione e, voilà: sono entrati nel suo account Signal.

Come questo incidente dimostra la robustezza di Signal

Quindi, sembra che nemmeno Signal sia immune da incidenti di questo tipo. Perché, allora, continuiamo a parlare della sua sicurezza e di quanto si preoccupi della privacy?

Innanzitutto, <strong>i cybercriminali non sono riusciti ad accedere alla corrispondenza</strong>. Signal utilizza la crittografia end-to-end con il protocollo sicuro Signal Protocol. Utilizzando la crittografia end-to-end, i messaggi degli utenti vengono memorizzati solo sui loro dispositivi, non sui server di Signal né altrove. Pertanto, non è possibile leggerli semplicemente hackerando l’infrastruttura di Signal.

Ciò che viene memorizzato sui server di Signal sono i numeri di telefono degli utenti e dei loro contatti. Questo permette all’app di inviare una notifica all’utente quando un suo contatto si iscrive a Signal. Tuttavia, i dati vengono immagazzinati, in primo luogo, in archivi speciali chiamati secure enclaves, a cui non possono accedere nemmeno i developer di Signal. In secondo luogo, i numeri stessi non vengono memorizzati in chiaro, ma mediante codice hash. Questo meccanismo consente all’app Signal sul telefono di inviare informazioni criptate sui contatti e di ricevere una risposta altrettanto criptata su quali contatti utilizzano Signal. In altre parole, gli hacker non hanno potuto accedere all’elenco dei contatti dell’utente.

Infine, va sottolineato che Signal è stato attaccato in un punto particolare della catena di fornitura, attraverso un fornitore di servizi meno protetto utilizzato dall’azienda. Questo, quindi, è il suo anello debole. Tuttavia, Signal dispone di sistemi di protezione per evitare anche queste situazioni.

L’app contiene una funzione chiamata Blocco registrazione (per attivarla, andare su  Impostazioni → Account → Blocco registrazione, che richiede l’inserimento di un PIN stabilito dall’utente quando si attiva Signal su un nuovo dispositivo. Per sicurezza, chiariamo che questo PIN, il PIN di Signal, non ha nulla a che fare con lo sblocco dell’app, che avviene con gli stessi mezzi utilizzati per sbloccare lo smartphone.

Funzione Blocco registrazione nelle impostazioni di Signal

Il Blocco registrazione è disattivato per impostazione predefinita, come è accaduto ad almeno uno degli account hackerati. Per questo motivo, i cybercriminali sono riusciti a portare a termine l’attacco spacciandosi per la vittima per circa 13 ore. <strong>Se il Blocco registrazione fosse stato abilitato, non avrebbero potuto accedere all’app</strong> pur sapendo il numero di telefono e il codice di verifica.

Cosa si può fare per proteggere meglio i messaggi?

Per ricapitolare, gli hacker non hanno violato Signal in sé, ma il suo partner Twilio, che ha dato loro accesso a 1.900 account, che hanno utilizzato per accedere a tre di essi. Inoltre, non hanno avuto accesso né alla corrispondenza né all’elenco dei contatti, e hanno potuto solo spacciarsi per gli utenti a cui hanno hackerato gli account. Se questi utenti avessero attivato il Blocco registrazione, gli hacker non avrebbero potuto farlo.

Anche se l’attacco è stato un successo a livello formale, non c’è motivo di spaventarsi e di smettere di usare Signal. Rimane un’app abbastanza sicura che si preoccupa per privacy dei messaggi, come dimostrato da questo attacco hacker. Però, potete renderla ancora più sicura. Per farlo:

• Attivate il Blocco registrazione nelle impostazioni di Signal in modo che i cybercriminali non possano accedere al vostro account senza conoscere il vostro PIN segreto, benché siano in possesso del codice monouso per attivare Signal su un nuovo dispositivo.
• Leggete il nostro post su come configurare al meglio le impostazioni di privacy e sicurezza su Signal e configurate la vostra app. Signal dispone di impostazioni di base e di opzioni per i più paranoici che offrono una maggiore sicurezza a cambio di un po’ di usabilità.
• E, naturalmente, installate un'app di sicurezza sul vostro smartphone. Se il malware entra nel dispositivo, nessuna misura di protezione da parte di Signal proteggerà i vostri messaggi e l’elenco dei contatti. Ma se il malware viene bloccato, o almeno viene intercettato in tempo, i vostri dati saranno al sicuro.