China vs Telegram: Telegram Hackerato?

China vs Telegram: Telegram Hackerato?

Daz for Updates 📰
SPOILER: No, ma la faccenda è complicata...

La Cina è sempre stata un paese problematico, soprattutto dal punto di vista politico, dove il Grande Partito Comunista Cinese è l'esclusivo detentore del potere politico fin dalla nascita della Repubblica Popolare Cinese nel 1949. In questo clima quasi tirannico, il partito ha spesso censurato o controllato intere zone dell'internet creando una sua rete interna. Gli attivisti cercano quindi una via di fuga e Telegram sembrava offrirla...


Breve riassunto dei trascorsi in Cina

Contrariamente a quanto alcune testate giornalistiche stanno pubblicando in questi giorni, la più grande e diffusa applicazione di messaggistica nel territorio cinese è WeChat che tuttavia risulta essere controllata e sponsorizzata dallo stesso governo del paese. Per sfuggire a questo controllo opprimente (che insieme ad altri costituisce il "Great Firewall") gli attivisti per i diritti umani e politici ricorrono al caro aeroplanino (in quanto, grazie alle chat segrete, potevano essere coperti da una crittografia end-to-end e dall'autodistruzione dei messaggi, senza poter essere tracciati dalle autorità e riuscendo quindi ad organizzare delle manifestazioni).

Nel 2015 la situazione prende una piega diversa; Telegram vede subire un grosso attacco DDoS ai propri server nell'area dell' Asia Pacifica (secondo molti organizzato dallo stesso governo cinese) proprio durante la protesta di Hong Kong contro l'estradizione (organizzata da svariate associazioni dei diritti umani come Amnesty International, Hong Kong Human Rights Monitor e Human Rights Watch).

Si sottolinea come questi attacchi siano mirati a bloccare momentaneamente il servizio, inviando tantissime richieste inutili ai server, senza effettivamente ottenere alcun dato degli utenti. Grazie a questo attacco i manifestanti erano impossibilitati nel comunicare senza essere tracciati dal governo e il tutto sfocia in violenza contro la polizia e in numerosi arresti.

A seguito di questo attacco, Telegram viene quindi bandito dal governo, come al solito (vedi casi come la Russia o l'Iran), senza grossi risultati: collegandosi con una semplice VPN è infatti possibile aggirare il blocco. Questo ha permesso ai manifestanti di continuare le loro attività nell'applicazione anche dopo l'attacco, gli arresti e il ban, ma ha anche attivato le autorità del governo cinese che, come quello russo, tenta non solo di individuare e bloccare le VPN utilizzate per connettersi a Telegram, ma anche di trovare la vera identità degli utenti che utilizzano il servizio.


In questi giorni si sta sentendo parlare di bug, vulnerabilità e ulteriori attacchi dal governo cinese... sarà proprio così? Facciamo un po' di chiarezza.

Tutto parte da un forum molto utilizzato dagli stessi manifestanti del 2015 ad Hong Kong e da un team di ingegneri del software che trova e verifica quella che a vista loro è una falla nel sistema della gestione dei contatti di Telegram che in seguito verrà pubblicata su Twitter:

In basso è riportata una nostra traduzione in Italiano dei due tweet:
Abbiamo bisogno di aiuto da @telegram. Noi e altri team abbiamo confermato una seria vulnerabilità che fa trapelare i numeri di telefono in gruppi pubblici, indipendentemente dalle opzioni sulla privacy. Telegram è molto usata nella protesta di Hong Kong (#hkprotest), questo mette i manifestanti in immediato pericolo
Il bug è già pubblico ed è molto facile da sfruttare. Sta pubblicando pericoli reali per i manifestanti di Hong Kong (#hkprotest) che usano pesantemente @telegram per coordinare le nostre dimostrazioni e azioni. Stiamo scrivendo il bug qui. Abbiamo scritto riguardo al bug qui. Abbiamo bisogno di aiuto da @durov
docs.google/document/d/e/2...


Questa segnalazione giunge anche alle orecchie di @campuscodi, reporter di sicurezza informatica, che pubblicherà un articolo a riguardo su zdnet.com dove spiegherà l'accaduto (definendo il tutto come "issue" cioè "problema").

A seguito di questo verranno redatti e modificati svariati articoli di altre testate (spesso) non specifiche, che andranno talvolta a confondere gli eventi del 2015 con i fatti appena accaduti, andando quindi a parlare di un attacco informatico tramite il quale il governo avrebbe rubato dai server asiatici tutti i numeri di telefono degli utenti (cosa assolutamente non vera).


In cosa consiste realmente

Questa "falla" sfrutta la gestione dei contatti di Telegram: quando noi infatti andiamo ad installare l'app possiamo scegliere se sincronizzare i numeri che abbiamo in rubrica per vedere se questi utilizzano il servizio. Lo stesso procedimento viene usato dalle autorità aggiungendo in massa numeri in rubrica per trovare quelli che utilizzano il servizio. Questa procedura, inoltre, funziona anche qualora le vittime abbiano impostato la privacy per il loro numero di telefono su "Nessuno".

la rubrica del telefono a sinistra, i contatti Telegram al centro, un gruppo pubblico a destra


A rispondere e fare le veci di Telegram è stato Sajil CK (noto utente Telegram vicino allo sviluppo di Telegram X per Android) che su Twitter ha risposto con questi due messaggi:

In basso è riportata una nostra traduzione in Italiano dei due tweet:
"Mallory aggiunge un gran numero di numeri di telefono in sequenza alla rubrica sul suo telefono, supponendo che il numero di telefono di Alice sia nell'elenco. (abbiamo testato l'aggiunta di 10.000 numeri di telefono)"
Non è un bug. Telegram mostra il tuo account se la persona ha il tuo numero nei suoi Contatti.
"Alice non vuole che nessuno veda il suo numero di telefono in Telegram. Quindi nasconde il suo numero di telefono nelle impostazioni sulla privacy di Telegram. (Privacy> Numero di telefono> Nessuno)"
Queste impostazioni sulla privacy non influiscono su coloro che hanno già il tuo numero.


In sintesi, Telegram è un'applicazione nata per sincronizzarsi con la sua rubrica, come fanno anche app analoghe quali WhatsApp e Messenger. L'impostazione per la privacy che impedisce a chiunque di vedere il proprio numero di telefono ha anche sotto una postilla che recita: "Gli utenti che hanno già il tuo numero salvato in rubrica lo vedranno anche su Telegram".Ciò nonostante, il team, prevedendo uno scenario simile, ha comunque inserito alcune restrizioni (infatti, importando in massa degli account su Telegram, si attiva una misura di difesa della piattaforma che ti permette di aggiungere solo 5 nuovi contatti al giorno, mentre il resto degli account importati sembrerà non utilizzare l'app, anche se sono utenti attivi). Questi blocchi, tuttavia, agiscono su un utente singolo e non possono di certo fermare un intero governo.


EDIT: Si smuove qualcosa

Articolo modificato il 28/08/2019, nessun contenuto scritto precedentemente è stato cambiato

E' ormai prassi per Telegram sfornare qualche aggiornamento verso la fine e l'inizio di un mese, e anche questa volta qualche leak è spuntato fuori. Tra le varie novità, infatti, c'è né una che i manifestanti di Honk Kong apprezzeranno di sicuro:

La possibilità di nascondere il proprio numero anche a chi ci aggiunge alla sua rubrica, e di mostrarlo solo a chi è nella nostra.

Screenshot proveniente dalla piattaforma dedicata alle traduzioni

Questa prossima feature potrebbe quindi portare alla fine della manovra in atto dal governo cinese e proteggere gli utenti della piattaforma.



Se ti è piaciuto questo articolo, valuta se iscriverti al canale

Articolo a cura di @DazFather e @LetiziaF07 per @DazUpdates