Due ricercatori italiani – Federico Ziberna e Claudio Cavalera – hanno scoperto quella che appare come una grave falla dei sistemi di Instant Messaging (IM) utilizzati da miliardi di persone quali Whatsapp e Viber. Lo studio – che è ampiamente descritto nel sito appositamente creato nowiseeyou.net – dimostra che, affidando a macchine virtuali il compito di generare milioni di numeri di telefono in modo (quasi) casuale, è possibile risalire all’avatar (la foto) che ciascun utente associa al proprio profilo e che, nella maggioranza dei casi, ritrae il viso dell’utente stesso.
Buttando in pasto ad una sorta di mega rubrica virtuale 200 milioni di numeri di telefono, sono stati individuati 10 milioni di contatti esistenti da cui era possibile indicizzare 7 milioni di avatar. Nel corso della ricerca si è venuto così a creare un database di milioni di immagini di volti appaiati ai relativi numeri di telefono. Tanto basterebbe per creare pericoli alla vita privata degli utenti: si pensi non solo alla privacy, ma a possibili episodi di stalking telefonico.
Ma c’è di più. Affidando questo immane schedario fotografico ad un tool di ricerca comparativa che lavora tramite algoritmi intelligenti di facial recognition, è risultato tecnicamente agevole ottenere innumerevoli matching con immagini presenti nei profili web; un’associazione che è eseguita in maniera ancor più immediata laddove – come spesso accade – l’utente utilizzi il medesimo avatar su sistemi IM e social (per questo si suggerisce di usare foto diverse per piattaforme diverse e di non ricorrere sempre a primi piani). Ottenuto il matching fotografico, sarà possibile collegare con certezza il primo pacchetto di informazioni (avatar di IM + numero di telefono) ad un profilo social che presumibilmente “regala” i dati identificativi (e non solo) dell’utente.
Secondo Ziberna in circa tre mesi di lavoro, impiegando una decina di computer con un centinaio di device virtuali, sarebbe possibile abbinare circa un miliardo di avatar a nome e numero di telefono reali, e così via alle altre informazioni di contorno.
Minore è il campo di attacco, maggiore è la velocità di esecuzione. Siccome lo scanning iniziale lavora sulla possibilità di indovinare numeri esistenti partendo dai prefissi nazionali di telefonia mobile, aggredire un contesto ipertrofico come il nostro (76 mln di utenze mobili su 60 mln di abitanti!) significherà impiegare tempo e mezzi, quasi fosse un assedio; al confronto, basterà un blitzkrieg per violare gli utenti di una popolazione dimensionata e meno smartphone dipendente (come, ad esempio, la Svizzera che ha 6 mln di utenze su 8 mln di abitanti). In perimetri d’indagine limitati, all’attaccante mancherebbe solo di sapere se per caso c’è l’ha davanti a se al bar o su un mezzo pubblico. Per Ziberna anche questo è possibile, grazie al geo tuning : l’attaccante scatta una foto al volto della persona ed il tool verifica se corrisponde ad uno degli avatar già indicizzati permettendo quindi di risalire al numero telefonico della persona immortalata.
Riassumiamo in conclusione. La ricerca in oggetto ci dice che è possibile, senza nemmeno troppi sforzi, ottenere foto del viso, numero di telefono, dati identificativi di un utente sconosciuto: sono dati che messi insieme ed organizzati sono un bel bottino e se riferiti a miliardi di persone costituirebbero un vero e proprio eldorado per chi avesse tempo, mezzi e – soprattutto – cattive intenzioni per procedere a cotanto “assemblaggio” per effettuare campagnie mirate di cybercrime o, più semplicemente, di marketing illecito. Se non si vuole costringere gli utenti a rinunciare ad utilizzare la propria foto come avatar, sarà il caso che Whatsapp & C. introducano presto rimedi (per Ziberna basterebbe una captcha o soluzione affine).
