Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
La ''falla'' di WhatsApp non è una falla
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 24 Gen 2017 19:26    Oggetto: La ''falla'' di WhatsApp non è una falla Rispondi citando

Leggi l'articolo La ''falla'' di WhatsApp non è una falla
Appello degli informatici per fare chiarezza.


 
(Fai clic sull'immagine per visualizzarla ingrandita)
 

Segnala un refuso
Top
colemar
Semidio
Semidio


Registrato: 17/08/10 23:44
Messaggi: 362

MessaggioInviato: 25 Gen 2017 10:14    Oggetto: Rispondi citando

Un momento, prima si esagerava l'importanza della falla, ma adesso si tende a minimizzarla.
Citazione:
... una situazione particolare che un aggressore troverebbe estremamente difficile da sfruttare

La situazione è particolare, ma non poi tanto: basta che il mio corrispondente perda il telefono, e non corra a farlo bloccare perché conta sul fatto che aveva attivato il lock basato su password/sequenza/impronta.

Facciamo il caso che il mio corrispondente sia un dissidente, non tanto furbo, a cui viene sottratto lo smartphone da un agente del governo. Magari il mio corrispondente non ha la possibilità di avvisarmi prontamente e direttamente per vari motivi.
Nel tempo che il mio corrispondente impiega a denunciare lo smarrimento e chiedere il blocco del terminale (ammesso che il gestore non sia complice del governo), la polizia sta già resettando lo smartphone, senza perdere tempo per tentare di superare il lock. Questo ovviamente comporta la reinstallazione di Whatsapp e la generazione di una nuova chiave. Non di meno la polizia mi invia un messaggio per sollecitare qualche risposta importante. Se io non ho attivato l'apposita notifica, perché non sono una cima, non mi accorgerò nemmeno che la chiave è cambiata.
A questo punto, non solo eventuali messaggi in sospeso saranno già nelle loro mani, ma io risponderò tranquillamente alla richiesta senza sapere che sto inviando messaggi allla polizia.

Quindi la falla esiste, ma non è nel software, bensì nella scelta di non attirare l'attenzione sul fatto che il numero telefonico di per sè non garantisce l'identità del mio corrispondente e quindi è necessario validare la chiave sempre, ed in particolare quando essa cambia.
Top
Profilo Invia messaggio privato
{francy}
Ospite





MessaggioInviato: 25 Gen 2017 11:12    Oggetto: Rispondi citando

Come dice colemar, questa faccenda è particolare e ci sono aspetti oscuri e cose non dette, compresa una opzione disattivata di default di cui la stragrande maggioranza degli utenti non conosce l'esistenza, né la funzione, né le importanti implicazioni.
Questa fretta di minimizzare, per di più suonata a fanfara da nomi importanti, puzza da lontano, considerati anche gli interessi in gioco.
Oramai credere a qualcuno di questi attori nazionali e multinazionali è impossibile, talmente ne raccontano e ne combinano.
Top
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1398
Residenza: EU

MessaggioInviato: 26 Gen 2017 14:32    Oggetto: Rispondi citando

@ colemar
Se il dissidente non è tanto furbo che non avvisa del furto del telefonino ma lo è quel minimo da avere inserito un blocco nella lockscreen, mi aspetto che abbia attivato anche il pin nella sim

In ogni caso ritengo esistano sistemi più sicuri per lo scambio di informazioni riservate, p.es. email+PGP o, meglio, GPG (se io fossi un dissidente non utilizzerei mai un IM che si basa su server di aziende e su una sim, anche fosse telegram o altri considerati sicuri)
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 8690
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 19 Feb 2017 17:10    Oggetto: Rispondi

colemar ha scritto:
Un momento, prima si esagerava l'importanza della falla, ma adesso si tende a minimizzarla.
Citazione:
... una situazione particolare che un aggressore troverebbe estremamente difficile da sfruttare

La situazione è particolare, ma non poi tanto: basta che il mio corrispondente perda il telefono, e non corra a farlo bloccare perché conta sul fatto che aveva attivato il lock basato su password/sequenza/impronta.

Facciamo il caso che il mio corrispondente sia un dissidente, non tanto furbo, a cui viene sottratto lo smartphone da un agente del governo. Magari il mio corrispondente non ha la possibilità di avvisarmi prontamente e direttamente per vari motivi.
Nel tempo che il mio corrispondente impiega a denunciare lo smarrimento e chiedere il blocco del terminale (ammesso che il gestore non sia complice del governo), la polizia sta già resettando lo smartphone, senza perdere tempo per tentare di superare il lock. Questo ovviamente comporta la reinstallazione di Whatsapp e la generazione di una nuova chiave. Non di meno la polizia mi invia un messaggio per sollecitare qualche risposta importante. Se io non ho attivato l'apposita notifica, perché non sono una cima, non mi accorgerò nemmeno che la chiave è cambiata.
A questo punto, non solo eventuali messaggi in sospeso saranno già nelle loro mani, ma io risponderò tranquillamente alla richiesta senza sapere che sto inviando messaggi allla polizia.

Quindi la falla esiste, ma non è nel software, bensì nella scelta di non attirare l'attenzione sul fatto che il numero telefonico di per sè non garantisce l'identità del mio corrispondente e quindi è necessario validare la chiave sempre, ed in particolare quando essa cambia.

Francamente mi sembra che questa ipotesi, per funzionare, necessiti che il dissidente ed il suo corrispondente siano piuttosto improvvidi e poco avvezzi ad agire manifestando di essere consci del pericolo che puà essere generato dal loro atteggiamento e dalle loro idee nei confronti delle autorità locali, a voler essere cinici, se li beccano, è più un fattore di selezione naturale che di falla in WA.
Una tale dabbenaggine li potrebbe far smascherare in mille altri modi.

In ogni caso condivido l'opinione di Cesco67 che dei veri dissidenti, molto probabilmente, si affidano a metodi più sicuri per scambiarsi informazioni e messaggi potenzialmente compromettenti.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi