La verifica in due passaggi (conosciuta anche con il nome di autenticazione a due fattori), ritenuta per antonomasia la migliore protezione per i nostri dati, non è così sicura come ci hanno fatto credere finora.

identificazione due fattoriCome avrete avuto modo di vedere, sempre più servizi stanno utilizzando l’identificazione a due fattori  per aggiungere uno strato di sicurezza migliore. Oltre ad un login e una password, il servizio chiede all’utente di confermare di essere l’utente della richiesta tramite il suo telefono. Ciò può essere fatto da una notifica o da un codice ricevuto via SMS (esempio lampante WhatsApp  o Telegram).

A darne notizia, gli esperti della  sicurezza di Positive Technologies che hanno dimostrato che  la sicurezza 2FA ( 2 fattori di autenticazione ) non è del tutto sicura come ci hanno propinato.

L’indiziato numero uno si cela nella vulnerabilità delle nostre reti mobili che consentirebbe agli  hacker di intercettare SMS inviati ad un numero tramite il protocollo  Signaling System #7,conosciuto con l’acronimo SS7, un insieme di protocolli di segnalazione ampiamente utilizzati dalle società di telecomunicazioni per comunicare reciprocamente fra loro e fornire indicazioni sui percorsi che le chiamate e gli SMS debbono seguire.

Una falla ben nota da tempo, alla quale nessuno finora ha posto rimedio per poter “consentire”  alle forze dell’ ordine di intercettare telefonate, SMS e stabilire la posizione di una persona.

Nel video dimostrativo in basso l’hacker necessita solo di alcune informazioni molto semplici da reperire vista la privacy di cui godiamo oggi giorno: nome, cognome,  indirizzo e-mail e numero di telefono.

La combinazione di questi pochi dati consentirà al malintenzionato di prendere possesso di un account Gmail, modificarne la password e, infine, recuperare le credenziali di accesso di un sito collegato con l’account Gmail come nell’ esempio.

La notizia di certo non ci fa sorridere ma nemmeno dobbiamo farci prendere dal panico, a meno che non abbiamo qualcosa da nascondere, e dobbiamo sapere che sfruttare le vulnerabilità della rete SS7 non è facile visto che per recuperare questo tipo di dati può costare fino a 20 milioni di dollari sul mercato nero secondo Ability Inc., una società di sorveglianza israeliana.

I ricercatori di Positive Technologies hanno fatto sapere che

è più semplice e più economico avere accesso diretto alla rete di interconnessione SS7 piuttosto che cercare di trovare uno strumento di hacking SS7 pronto all’uso.

Noi di Twister Android vi consigliamo espressamente di utilizzare altri metodi di identificazione 2FA, ad esempio un’applicazione, o assicurare che vi siano altri metodi di recupero degli account, ad esempio quelli proposti da Google .

Fateci sapere la vostra opinione commentando l’articolo in basso e le nostre pagine social: 

Google+,Facebook e Twitter. Ora potete seguirci anche sul nostro canale Telegram e su Flipboard.

Follow @TwisterAndroid

Non dimenticate di condividerlo con i vostri amici.

Huge love for Android