{"id":27178,"date":"2022-08-30T10:50:13","date_gmt":"2022-08-30T08:50:13","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27178"},"modified":"2022-08-30T10:50:13","modified_gmt":"2022-08-30T08:50:13","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/signal-hacked-but-still-secure\/27178\/","title":{"rendered":"Signal \u00e8 sicuro, parola di hacker!"},"content":{"rendered":"

Il 15 agosto, il team di Signal ha comunicato<\/a> che alcuni hacker sconosciuti hanno attaccato gli utenti del servizio di messaggistica omonimo. Oggi vi spieghiamo perch\u00e9 questo incidente mette in luce i vantaggi di Signal rispetto ad altre app di messaggistica.<\/p>\n

Cosa \u00e8 successo?<\/h2>\n

Secondo la dichiarazione rilasciata da Signal, l\u2019attacco ha colpito circa 1.900 utenti dell\u2019app. Dato che Signal vanta<\/a> pi\u00f9 di 40 milioni di utenti attivi al mese, l\u2019incidente ha interessato solo una piccola parte di loro. Detto questo, Signal \u00e8 utilizzato prevalentemente da coloro che si preoccupano molto della privacy delle loro comunicazioni. Quindi, anche se l\u2019attacco ha colpito una porzione ridotta di utenti, ha comunque avuto una certa risonanza nel mondo della sicurezza informatica.<\/p>\n

A seguito dell\u2019attacco, gli hacker sono stati in grado di accedere all\u2019account delle vittime mediante un altro dispositivo o hanno potuto scoprire che il proprietario di un particolare numero di telefono utilizza Signal. Tra questi 1.900 numeri, gli hacker erano particolarmente interessati a tre, per cui Signal \u00e8 stata informata da uno di questi tre utenti che il loro account era stato attivato su un altro dispositivo a loro insaputa.<\/p>\n

Come \u00e8 successo?<\/h2>\n

Sulle pagine di Kaspersky Daily abbiamo spesso parlato<\/a> del fatto<\/a> che Signal \u00e8 un\u2019app di messaggistica sicura, eppure l\u2019attacco \u00e8 andato a buon fine. Questo significa che la sua rinomata sicurezza e privacy siano solo un mito? Vediamo come si \u00e8 svolto l\u2019attacco e che ruolo ha avuto Signal.<\/p>\n

Partiamo dal fatto che gli account di Signal, come quelli di WhatsApp e Telegram, sono collegati a un numero di telefono. \u00c8 una pratica comune, ma non universale. Ad esempio, l\u2019app Threema, considerata sicura, afferma con orgoglio, facendone uno dei suoi punti di forza, di non vincolare gli account ai numeri di telefono. Su Signal, il numero di telefono \u00e8 necessario per l\u2019autenticazione<\/a>: l\u2019utente inserisce il proprio numero di telefono, al quale viene inviato un codice in un messaggio di testo. Il codice deve essere inserito e se \u00e8 corretto, significa che l\u2019utente possiede effettivamente quel numero.<\/p>\n

L\u2019invio di questi messaggi di testo con codici monouso \u00e8 gestito da aziende specializzate che forniscono lo stesso metodo di autenticazione a pi\u00f9 servizi. Nel caso di Signal, il provider \u00e8 Twilio, ed \u00e8 proprio questa societ\u00e0 che gli hacker hanno preso di mira.<\/p>\n

Il passo successivo \u00e8 stato il phishing. Alcuni dipendenti di Twilio hanno ricevuto<\/a> messaggi in cui si diceva che le loro password erano apparentemente vecchie e che era necessario aggiornarle. Per farlo, sono stati invitati a cliccare su un link di phishing. Un dipendente ha abboccato all\u2019esca, \u00e8 andato sul sito fasullo e ha inserito le proprie credenziali, che sono cadute direttamente nelle mani degli hacker.<\/p>\n

Queste credenziali hanno dato loro accesso ai sistemi interni di Twilio, consentendo loro di inviare messaggi di testo agli utenti e di leggerli. Gli hacker hanno quindi utilizzato il servizio per installare Signal su un nuovo dispositivo: hanno inserito il numero di telefono della vittima, intercettato il testo con il codice di attivazione e, voil\u00e0: sono entrati nel suo account Signal.<\/p>\n

Come questo incidente dimostra la robustezza di Signal<\/h2>\n

Quindi, sembra che nemmeno Signal sia immune da incidenti di questo tipo. Perch\u00e9, allora, continuiamo a parlare della sua sicurezza e di quanto si preoccupi della privacy?<\/p>\n

Innanzitutto, <strong>i cybercriminali non sono riusciti ad accedere alla corrispondenza<\/strong><\/strong>. Signal utilizza la crittografia end-to-end<\/a> con il protocollo sicuro Signal Protocol<\/a>. Utilizzando la crittografia end-to-end, i messaggi degli utenti vengono memorizzati solo sui loro dispositivi, non sui server di Signal n\u00e9 altrove. Pertanto, non \u00e8 possibile leggerli semplicemente hackerando l\u2019infrastruttura di Signal.<\/p>\n

Ci\u00f2 che viene memorizzato sui server di Signal sono i numeri di telefono degli utenti e dei loro contatti. Questo permette all\u2019app di inviare una notifica all\u2019utente quando un suo contatto si iscrive a Signal. Tuttavia, i dati vengono immagazzinati, in primo luogo, in archivi speciali chiamati secure enclaves<\/em>, a cui non possono accedere nemmeno i developer di Signal. In secondo luogo, i numeri stessi non vengono memorizzati in chiaro, ma mediante codice hash. Questo meccanismo consente all\u2019app Signal sul telefono di inviare informazioni criptate sui contatti e di ricevere una risposta altrettanto criptata su quali contatti utilizzano Signal. In altre parole, gli hacker non hanno potuto accedere all\u2019elenco dei contatti dell\u2019utente.<\/strong><\/p>\n

Infine, va sottolineato che Signal \u00e8 stato attaccato in un punto particolare della catena di fornitura, attraverso un fornitore di servizi meno protetto utilizzato dall\u2019azienda. Questo, quindi, \u00e8 il suo anello debole. Tuttavia, Signal dispone di sistemi di protezione per evitare anche queste situazioni.<\/p>\n

L\u2019app contiene una funzione chiamata Blocco registrazione (per attivarla, andare su\u00a0 Impostazioni <\/em>\u2192 Account <\/em>\u2192 Blocco registrazione<\/em>, che richiede l\u2019inserimento di un PIN<\/a> stabilito dall\u2019utente quando si attiva Signal su un nuovo dispositivo. Per sicurezza, chiariamo che questo PIN, il PIN di Signal, non ha nulla a che fare con lo sblocco dell\u2019app, che avviene con gli stessi mezzi utilizzati per sbloccare lo smartphone.<\/p>\n

\"Funzione

Funzione Blocco registrazione nelle impostazioni di Signal<\/p><\/div>\n

\u00a0<\/p>\n

Il Blocco registrazione \u00e8 disattivato per impostazione predefinita, come \u00e8 accaduto ad almeno uno degli account hackerati. Per questo motivo, i cybercriminali sono riusciti a portare a termine l\u2019attacco spacciandosi per la vittima per circa 13 ore. <strong>Se il Blocco registrazione fosse stato abilitato<\/strong>, non avrebbero potuto accedere all\u2019app<\/strong><\/strong> pur sapendo il numero di telefono e il codice di verifica.<\/p>\n

Cosa si pu\u00f2 fare per proteggere meglio i messaggi?<\/h2>\n

Per ricapitolare, gli hacker non hanno violato Signal in s\u00e9, ma il suo partner Twilio, che ha dato loro accesso a 1.900 account, che hanno utilizzato per accedere a tre di essi. Inoltre, non hanno avuto accesso n\u00e9 alla corrispondenza n\u00e9 all\u2019elenco dei contatti, e hanno potuto solo spacciarsi per gli utenti a cui hanno hackerato gli account. Se questi utenti avessero attivato il Blocco registrazione, gli hacker non avrebbero potuto farlo.<\/p>\n

Anche se l\u2019attacco \u00e8 stato un successo a livello formale, non c\u2019\u00e8 motivo di spaventarsi e di smettere di usare Signal. Rimane un\u2019app abbastanza sicura che si preoccupa per privacy dei messaggi, come dimostrato da questo attacco hacker. Per\u00f2, potete renderla ancora pi\u00f9 sicura. Per farlo:<\/p>\n