A differenza di WhatsApp, nessuno potrebbe ottenere il tuo account Telegram semplicemente inviandoti una foto
TelegramData: 15 marzo, 2017
Tradotto da fpoi.org
Una società chiamata Check Point ha scoperto un modo per ottenere l'accesso a un account WhatsApp a condizione che il tuo obiettivo abbia semplicemente aperto una foto che gli hai inviato. Non sono state richieste ulteriori azioni da parte dell'obiettivo. Alcuni media hanno riferito che la "stessa" vulnerabilità è stata scoperta in Telegram.
Questo non è vero, Telegram non ha mai avuto questo problema.
Che cosa avevate?
La settimana scorsa, Check Point ha evidenziato un problema diverso in Telegram Web che si basava sulla stessa idea, ma che aveva implicazioni molto diverse per l'utente finale. Affinché questa versione funzioni, dovevate convincere il vostro obiettivo a fare esattamente quanto segue:
1. Premere 'Play' per iniziare a guardare un video dannoso via Telegram Web in Chrome. (A questo punto un account WhatsApp è già compromesso, ma in Telegram non succede nulla).
2. Poi, dato che il video è già in riproduzione, cliccare con il tasto destro del mouse sul video in esecuzione e selezionare "apri in una nuova scheda" dal menu.
Il vostro obiettivo doveva fare esattamente questo, nell'ordine esatto. Nota anche:
- Questo non ha funzionato se avete semplicemente aperto il link 'play video' in una nuova scheda. Nessun effetto.
- Questo non ha funzionato in nessun altro browser che non sia Chrome.
- Questo è naturalmente irrilevante per Telegram Desktop o qualsiasi altra nostra applicazione.
- Naturalmente abbiamo comunque risolto subito il problema.
Come potete vedere, l'attacco contro Telegram ha richiesto condizioni molto particolari e azioni molto insolite da parte dell'utente obiettivo per avere successo.
Perché allora il resoconto distorto?
Molti media hanno riportato erroneamente che Telegram aveva lo stesso problema di WhatsApp. Il motivo per cui lo hanno fatto è che Check Point ha scelto di scrivere il proprio post in modo da massimizzare la visibilità. Questo non è insolito per una società di sicurezza in cerca di riconoscimento. Tuttavia è sorprendente che non si siano accontentati semplicemente di incassare sul problema di WhatsApp e che abbiano incluso dichiarazioni imprecise su Telegram. Ad esempio:
Una volta che l'utente clicca per aprire il file dannoso, consente all'aggressore di accedere all'archiviazione locale di WhatsApp e Telegram, dove sono memorizzati i dati dell'utente. Da quel punto, l'aggressore può ottenere pieno accesso all'account e ai dati dell'account dell'utente.
La parte relativa a Telegram in questa dichiarazione non è vera. Purtroppo, fa ora parte di una raffica di articoli scritti da giornalisti fuorvianti in tutto il mondo. Quindi, se vedete un titolo come "Come una sola foto possa aver violato i vostri account WhatsApp e Telegram", sentitevi liberi di dire all'autore che sono stati ingannati da una società di sicurezza irresponsabile.
AGGIORNAMENTO 16.03.17: Dopo numerose richieste, Check Point ha aggiornato il loro articolo un giorno dopo.
OK, allora come faccio a sapere se questo è stato usato sul mio account in passato?
Se sei un utente WhatsApp, non lo sai. Mi dispiace. A meno che tu non sia sicuro che tutte le foto che hai aperto tramite WhatsApp Web provengano da fonti legittime.
Se sei un utente Telegram e usi il client Web invece delle applicazioni desktop, cerca di ricordare se hai mai fatto lo strano trucco descritto sopra. Se, come tutti noi, non hai mai fatto niente del genere, questo non ti riguarda.