Un gruppo di hacker iraniani è riuscito a superare le barriere di sicurezza di Telegram, visto che è stata letteralmente compromessa la procedura di autenticazione basata sugli SMS.
Grazie alla collaborazione con una compagnia telefonica, il gruppo Rocket Kitten è riuscito ad accedere alla cronologia contatti, messaggi inviati e dati di milioni di utenti compromettendo la procedura di autenticazione tramite SMS. Anche se manca la certezza assoluta, secondo gli analisti questo attacco è stato portato avanti con la collaborazione del governo iraniano, con lo scopo di accedere alle conversazioni private di nemici politici e di liberi cittadini. In totale, sarebbero 15 milioni i numeri di telefono e gli ID Telegram violati, anche se limitati ai soli account iraniani.
Non si tratta certo di una buona notizia per Telegram, che da sempre ha fatto della sicurezza della sua piattaforma un punto di forza fondamentale per il suo successo.
AGGIORNAMENTO: vista l’enorme confusione che si è creata intorno a questa notizia, è doveroso specificare alcune cose. La notizia originale è stata pubblicata da Reuters poi, dopo circa un’ora, è arrivata la risposta ufficiale di Telegram. Da una parte, Telegram rassicura gli utenti dicendo che “l’attacco ha colpito solo dati disponibili pubblicamente, senza accesso agli account privati e soltanto a causa dell’SMS di verifica”, ma Reuters ha risposto che, sfruttando una falla del servizio, “con questo codice SMS, gli hackers possono aggiungere un nuovo device su un qualsiasi account Telegram, abilitando sul quel device la possibilità di leggere la cronologia dei messaggi e tutte le nuove chat iniziate da qual momento in poi”. Telegram consiglia chiaramente di attivare l’autenticazione a 2 fattori, che di fatto eviterebbe qualsiasi pericolo. Anche in questo caso, però, i ricercatori hanno definito il sistema di autenticazione a 2 fattori non sicuro (in generale, non solo per Telegram), come confermato qualche giorno fa anche dal National Institute of Standards and Technology, che ha confermato come esistano diversi modi per superare anche questo sistema di sicurezza.
In pratica, il tutto parte sì dall’intercettazione dell’SMS di conferma, ma Telegram non sembra avere un sistema che possa bloccare l’aggiunta di un account fasullo, anche se l’operazione è avvenuta partendo da un codice SMS esatto. Per capirci, come confermato da diversi esperti di sicurezza, “la vulnerabilità di Telegram sta nella sue gestione degli SMS utilizzati per attivare nuovi dispositivi. Certo, c’è bisogno della collaborazione di una compagnia telefonica, ma altre app di messaggistica gestiscono molto meglio questa seppur remota possibilità”.