Visualizzazioni Totali

TRA I PRIMI IN ITALIA A PARLARE DI BITCOIN (DAL 2012!): PER ESSERE SEMPRE AGGIORNATI SULLE NOVITA' TECNOLOGICHE DEL WEB SEGUITE LA PAGINA FACEBOOK (LINK A SINISTRA)

giovedì 12 ottobre 2017

Scoprire L'Identità Di Una Persona Grazie All'Immagine Profilo (WhatsApp Bug)

Federico Ziberna e Claudio Cavalera, ricercatori indipendenti, hanno descritto la possibilità di effettuare un genere completamente nuovo di attacco quindi di violazione della privacy, basato sulle immagini utilizzate dagli utenti come avatar su WhatsApp e Viber.
Tutto ciò grazie ad un bug/exploit delle famose app di messagging che permetterebbe di salvare migliaia di foto e poi di confrontarle con immagini reali o con altre presenti sui social network.
In poche parole si potrebbe associare una persona al numero di telefono, grazie all'avatar.
I due autori hanno utilizzato come chiave di ricerca la foto-profilo di un utente, assieme ad altri dati estrapolabili dalla stessa immagine, grazie ad esempio ad algoritmi di riconoscimento facciale (per individuare età o sesso) per confrontare la foto con immagini reperibili in rete (grazie anche alla ricerca per immagini di Google) o su altri account.
E' stato utilizzato un sistema che consente di scaricare liberamente illimitati avatar (milioni di foto) collegati ad account di utenti, per "illustrare agli utilizzatori del web possibili scenari di eventuali violazioni della loro privacy o riservatezza rispetto a delle informazioni che anche involontariamente possono condividere" via social e su Internet.
Sono stati testati 200 milioni di numeri e sono stati trovati 10 milioni di contatti (numeri telefonici registrati sulle due App).
Il tool riesce a raccogliere e memorizzare in maniera automatica un numero illimitato di avatar da WhatsApp e Viber utilizzate da utenti registrati alle due App di messaggistica.
Una volta raccolti, tali avatar "sono stati catalogati ed elaborati con algoritmi di riconoscimento facciale, confronto, analisi e ricerca sul web".
Visto che le App succitate fanno riferimento alla rubrica di un utente e verificano automaticamente se i numeri presenti sono presenti anche sulle loro reti, questi sistemi ci permettono trovare tutti i nostri contatti che già li usano, all'interno della lista dei contatti del software di IM.
Tramite ciò sarebbe possibile collegare il numero di telefono di uno sconosciuto ad una persona reale, proprio grazie all'avatar.

Gli autori: "Immaginate questo scenario, possediamo uno schedario di milioni di foto, la gran parte delle quali presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca un criminale confrontando la sua foto con quelle contenute in uno schedario? Ecco: solo che 'NowIseeYou' ha il vantaggio che su ogni foto dello schedario c'è associato il numero di telefono"

NowISeeYou installato su un singolo device emulato può verificare, 100mila numeri al giorno.
L'App è stata fatta girare per circa 3 mesi, alla fine del periodo essa avrà verificato circa 10 milioni di numeri.
Usando l'exploit su 100 dispositivi, il totale di numeri verificati va moltiplicato per 100, permettendo di verificare 100 miliardi di numeri.
Di questi solo una piccola parte erano numeri reali o comunque verificati, lanciando una seconda scansione con soli questi numeri reali, è possibile poi salvare tutti gli avatars (compresi eventuali cambi dell'immagine profilo) e metterli tutti assieme in un database.
Fra i diversi tipi di hack che permetterebbero poi il confronto con quanto salvato in precedenza, c'è quello che Ziberna chiama il "Voodoo Doll Exploit": chi vuole ottenere informazioni fa una foto qualunque ad uno sconosciuto (ad esempio in un bar, all'università o al mare) e il tool di attacco confronta la foto con tutti gli avatar in possesso, permettendo quindi, eventualmente, di risalire anche al suo numero di telefono nel caso si trovasse corrispondenza.


Per maggiori info: Nowiseeyou

1 commento: