A differenza di WhatsApp, nessuno può controllare il tuo account Telegram inviando semplicemente una foto.

Una compagnia chiamata Check Point ha scoperto un modo per prendere il possesso di un account WhatsApp a patto che l'obiettivo dell'attacco apra semplicemente una foto che gli è stata inviata. All'utente oggetto dell'attacco non sono richieste altre azioni. Alcuni media hanno irresponsabilmente segnalato che "la stessa" vulnerabilità è stata scoperta su Telegram.

Questo non è vero, Telegram non ha mai avuto questo problema.

Voi che cosa avete?

La scorsa settimana, Check Point ha segnalato un problema diverso in Telegram Web che era basato sulla stessa idea, ma che aveva implicazioni ben diverse per l'utente finale. Per fare in modo che questa versione funzioni, era necessario convincere l'obiettivo a fare quanto segue:

1. Premere 'Play' per iniziare a visualizzare un video malevolo tramite Telegram Web su Chrome. (A questo punto l'account di WhatsApp risulta già compromesso, mentre su Telegram non succede nulla.)

2. Quindi, mentre il video è già in riproduzione, cliccare col tasto destro sul video in esecuzione e selezionare "apri in una nuova scheda" dal menù.

L'obiettivo dell'attacco doveva fare esattamente questo, in questo esatto ordine. Inoltre:

• Questo non funziona se viene aperto il link del video in una nuova scheda. Nessun effetto.
• Questo non funziona in browser diversi da Chrome.
• Questo non è rilevante per Telegram Desktop e le nostre app mobile.
• Abbiamo risolto immediatamente questo problema, ovviamente.

Come puoi notare, l'attacco contro Telegram richiede un'interazione molto inusuale da parte dell'utente per funzionare.

A cosa è dovuta la segnalazione errata?

Molti media hanno erroneamente segnalato lo stesso problema di WhatsApp su Telegram. Il motivo per cui l'hanno fatto dipende dal modo in cui Check Point ha scritto il suo articolo, in modo da massimizzarne l'impatto pubblico. Questo non è inusuale per una compagnia di sicurezza in cerca di riconoscimento. È invece sorprendente che non gli sia bastato andare a segno con il problema di WhatsApp, ma che abbiano aggiunto dichiarazioni inaccurate su Telegram. Per esempio:

Una volta che l'utente clicca per aprire il file malevolo, questo permette a chi esegue l'attacco di accedere all'archivio locale di WhatsApp e Telegram, dove i dati dell'utente sono archiviati. Da questo punto, chi esegue l'attacco ottiene il controllo completo dall'account e dei dati dell'utente.

La parte che riguarda Telegram in questa dichiarazione non è vera. Sfortunatamente, fa ora parte di una serie di articoli scritti da giornalisti tratti in errore in tutto il globo. Quindi se vedi un titolo tipo "Come una foto può aver hackerato il tuo account WhatsApp e Telegram", sentiti libero di dire all'autore che è stato ingannato da una compagnia di sicurezza irresponsabile.

Come posso sapere se questo è stato fatto sul mio account in passato?

Se sei un utente di WhatsApp, non puoi. Ci spiace. A meno che tu non sia sicuro che tutte le foto che hai aperto tramite WhatsApp Web provenissero da fonti certe.

Se sei un utente di Telegram e usi il client web invece delle app desktop, cerca di ricordare se hai mai eseguito la combinazione descritta qui sopra. Se, come tutti noi, non hai mai fatto nulla del genere, tutta questa situazione non significa nulla per te.