Non sembra essere un periodo tranquillo per i social network e per la loro sicurezza. Dopo il caos generato dalla pubblicazione di un database con 32 milioni di credenziali di accesso a Twitter, e in seguito alla notizia dell’hacking di Linkedin, è arrivato ora il turno di Facebook. Che, va detto subito, non è stato attaccato da cybercriminali, ma essere iscritti al social potrebbe rappresentare una minaccia per la privacy. I ricercatori di Positive Technologies hanno infatti identificato una vulnerabilità legata al set di protocolli Ss7, utilizzato a livello mondiale per gestire le chiamate e i dati trasmessi sulle reti telefoniche, che potrebbe avere ripercussioni dirette sull’autenticazione a due fattori tramite Sms prevista dal social network blu.
Secondo Positive Technologies, un malintenzionato potrebbe prendere il controllo dell’account di una persona “semplicemente” conoscendo il numero di telefono della vittima, aggiungendovi ovviamente un tocco di esperienza in termini di hackeraggio. La falla non riguarda direttamente Facebook ma come detto colpisce Ss7, che in automatico classifica i messaggi inviati sul proprio network come affidabili, a prescindere dalla loro origine.
Per sfruttare il bug di Ss7 è necessario innanzitutto cliccare sul link “Account dimenticato?” sulla homepage del social network. Quando il sistema richiede un indirizzo email o un numero di telefono collegato al profilo, si deve poi inserire il numero della vittima. A questo punto entrano in gioco le abilità del cybercriminale, che deve essere in grado di deviare su un proprio dispositivo il messaggio di testo contenente la password a uso singolo (one time passcode, Otp) inviata da Facebook al cellulare connesso all’account.
Positive Technologies ha pubblicato un proof-of-concept dell’exploit, realizzabile ovviamente solo quando un account è collegato a un numero di telefono. Il video dell’azienda è disponibile alla fine dell’articolo. Al momento non è dato sapere se attacchi di questo genere sono andati a buon fine, ma Facebook ha risposto a Forbes, tra le prime testate a commentare questo bug, dicendo che abilitare l’autenticazione a due fattori rimuove in automatico la possibilità di recuperare la password via Sms.
Il protocollo Ss7 è stato sviluppato nel 1975 ed è utilizzato da allora a livello globale per definire come le singole reti presenti in un network telefonico generale (Pstn) scambiano informazioni digitali. Purtroppo, l’insieme di regole e l’implementazione nei sistemi presentano una falla nota da anni, che nessuno finora si è preso la briga di affrontare e provare a risolvere. Positive Technologies, infine, sottolinea che il problema riguarda potenzialmente tutti i servizi che presentano come opzione il recupero della password tramite Sms, quindi non solo Facebook.