Alfonso Maruccia

NowISeeYou, ethical hacking all'italiana

Due ricercatori italiani lanciano l'allarme sulla possibilitÓ di violare l'identitÓ degli utenti dei servizi di messaggistica istantanea a partire dagli avatar pubblici. Un problema che coinvolge milioni di netizen nostrani

Si chiama NowISeeYou e secondo i suoi autori rappresenta "il primo e più rilevante privacy hacking basato sulle immagini". Autori dello studio sono Federico Ziberna e Claudio Cavalera, ricercatori italiani indipendenti, che evidenziano i rischi connessi all'uso di fotografie "reali" o altri avatar riconoscibili sui servizi di messaggistica istantanea più popolari.

Stando a quanto sostengono i ricercatori, il tipo di attacco da loro ideato potrebbe infatti coinvolgere "gran parte" degli utenti di WhatsApp e Viber, con l'identificazione dell'identità "reale" di un utente dei suddetti servizi di IM accanto al numero di telefono usato sul network.

nowiseeyou

Il sistema ideato da Ziberna e Cavalera prevede prima di tutto il download di una "quantità illimitata" di avatar degli account IM, immagini da cui è poi possibile estrapolare chiavi di ricerca rilevanti inclusi quelle estrapolabili con gli algoritmi di riconoscimento facciale come etnia, età, sesso e altro.
In questo modo, dicono gli autori, è potenzialmente possibile "collegare il numero di telefono di uno sconosciuto qualunque ad una persona reale" - e tutto grazie all'uso degli avatar usati sui network di IM.

Suggestivo e degno di nota lo scenario tratteggiato dai ricercatori per spiegare l'utilità del loro lavoro: "possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? ecco: solo che nowiseeyou ha il vantaggio che su ogni foto del suo schedario c'è appiccicato il numero di telefono del criminale...".

Una delle conseguenze potenziali dell'abuso di avatar è l'attacco che i ricercatori chiamano "voodoo doll exploit", uno scenario in cui un malintenzionato fa una foto a una persona qualsiasi (magari in spiaggia) e poi si serve del tool di NowISeeYou per verificare la presenza dell'avatar nel suo database per risalire al numero di telefono della "vittima".

Alfonso Maruccia
10 Commenti alla Notizia NowISeeYou, ethical hacking all'italiana
Ordina
  • ok, un popo di scan... ma adesso?
    cioe' voglio dire... hanno fatto su scala gigantica quello che fa ogni utente che installa wazzappa. e si sono in piu' salvati l'avatar.
    Dopo un lavoraccio IMPROBO di scan-e-salva che hanno?
    - sanno che avatar con facciadarospo ha n.tel +39382109920
    - sanno che "anna fregna" ha n.tel +389389283900
    -( sanno di aver violato pesantemente la TOS di wazzappa ..)

    e quindi? buono per il telemarketing? buono per fare mago otelma (indovino il n.di tel di anna fregna)?
    non+autenticato
  • - Scritto da: bubba
    > ok, un popo di scan... ma adesso?
    > cioe' voglio dire... hanno fatto su scala
    > gigantica quello che fa ogni utente che installa
    > wazzappa. e si sono in piu' salvati l'avatar.
    > Dopo un lavoraccio IMPROBO di scan-e-salva che
    > hanno?
    > - sanno che avatar con facciadarospo ha n.tel
    > +39382109920
    > - sanno che "anna fregna" ha n.tel +389389283900
    > -( sanno di aver violato pesantemente la TOS di
    > wazzappa..)
    >
    > e quindi? buono per il telemarketing? buono per
    > fare mago otelma (indovino il n.di tel di anna
    > fregna)?

    Ma possono scaricare gli avatar WA di chi non li rende accessibili pubblicamente? Credo che la maggior parte della gente configuri il proprio avatar come visibile solo ai propri contatti.

    In compenso ho scoperto che truecaller sa associare un numero di telefono al nome dell'intestatario. Apparentemente chi vi si iscrive comunica l'elenco dei propri contatti con nome e cognome, così anche chi non ha mai usato il servizio si trova schedato. Truecaller dice che no, la loro app non fa così, ma sta di fatto che il mio numero c'era, senza che mi fossi mai iscritto.
    Izio01
    4614
  • - Scritto da: Izio01
    > - Scritto da: bubba
    > > ok, un popo di scan... ma adesso?
    > > cioe' voglio dire... hanno fatto su scala
    > > gigantica quello che fa ogni utente che
    > installa
    > > wazzappa. e si sono in piu' salvati l'avatar.
    > > Dopo un lavoraccio IMPROBO di scan-e-salva
    > che
    > > hanno?
    > > - sanno che avatar con facciadarospo ha n.tel
    > > +39382109920
    > > - sanno che "anna fregna" ha n.tel
    > +389389283900
    > > -( sanno di aver violato pesantemente la TOS
    > di
    > > wazzappa..)
    > >
    > > e quindi? buono per il telemarketing? buono
    > per
    > > fare mago otelma (indovino il n.di tel di
    > anna
    > > fregna)?
    >
    > Ma possono scaricare gli avatar WA di chi non li
    > rende accessibili pubblicamente? Credo che la
    > maggior parte della gente configuri il proprio
    > avatar come visibile solo ai propri
    > contatti.
    a parte che la gente al 99% tiene la cfg di default (come ci ricordano gli amici nella relazione) cosa significa 'i propri contatti'?
    tu hai wazzappa ,tra i tuoi contatti hai tua madre che ha n.tel +39349123456
    io ficco numeri a caso nella MIA rubrica dei contatti, fino a generare proprio +39349123456... ora e' anche un mio contatto.. no?

    > In compenso ho scoperto che truecaller sa
    > associare un numero di telefono al nome
    > dell'intestatario. Apparentemente chi vi si
    > iscrive comunica l'elenco dei propri contatti con
    > nome e cognome, così anche chi non ha mai usato
    > il servizio si trova schedato. Truecaller dice
    > che no, la loro app non fa così, ma sta di fatto
    > che il mio numero c'era, senza che mi fossi mai
    > iscritto.
    feko... e chissa tutti gli altri... viva il 2fa che vuole la verifica del n.di.cell perqualunquecosaCon la lingua fuoriSorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Izio01
    > > - Scritto da: bubba
    > > > ok, un popo di scan... ma adesso?
    > > > cioe' voglio dire... hanno fatto su scala
    > > > gigantica quello che fa ogni utente che
    > > installa
    > > > wazzappa. e si sono in piu' salvati
    > l'avatar.
    > > > Dopo un lavoraccio IMPROBO di scan-e-salva
    > > che
    > > > hanno?
    > > > - sanno che avatar con facciadarospo ha
    > n.tel
    > > > +39382109920
    > > > - sanno che "anna fregna" ha n.tel
    > > +389389283900
    > > > -( sanno di aver violato pesantemente la
    > TOS
    > > di
    > > > wazzappa..)
    > > >
    > > > e quindi? buono per il telemarketing? buono
    > > per
    > > > fare mago otelma (indovino il n.di tel di
    > > anna
    > > > fregna)?
    > >
    > > Ma possono scaricare gli avatar WA di chi non li
    > > rende accessibili pubblicamente? Credo che la
    > > maggior parte della gente configuri il proprio
    > > avatar come visibile solo ai propri
    > > contatti.
    > a parte che la gente al 99% tiene la cfg di
    > default (come ci ricordano gli amici nella
    > relazione) cosa significa 'i propri
    > contatti'?
    > tu hai wazzappa ,tra i tuoi contatti hai tua
    > madre che ha n.tel
    > +39349123456
    > io ficco numeri a caso nella MIA rubrica dei
    > contatti, fino a generare proprio +39349123456...
    > ora e' anche un mio contatto..
    > no?
    >

    Ma tu non sai chi sia quella persona.
    Se invece un tuo amico ha in rubrica il tuo nome e cognome associato al numero di telefono, se tu mi chiami e io ho TrueCaller installato, non vedo un nome a caso, vedo proprio "Bubba Gump" anche se non ho idea di chi tu sia.
    Izio01
    4614
  • - Scritto da: Izio01
    > - Scritto da: bubba
    > > - Scritto da: Izio01
    > > > - Scritto da: bubba
    > > > > ok, un popo di scan... ma adesso?
    > > > > cioe' voglio dire... hanno fatto
    > su
    > scala
    > > > > gigantica quello che fa ogni
    > utente
    > che
    > > > installa
    > > > > wazzappa. e si sono in piu' salvati
    > > l'avatar.
    > > > > Dopo un lavoraccio IMPROBO di
    > scan-e-salva
    > > > che
    > > > > hanno?
    > > > > - sanno che avatar con
    > facciadarospo
    > ha
    > > n.tel
    > > > > +39382109920
    > > > > - sanno che "anna fregna" ha n.tel
    > > > +389389283900
    > > > > -( sanno di aver violato
    > pesantemente
    > la
    > > TOS
    > > > di
    > > > > wazzappa..)
    > > > >
    > > > > e quindi? buono per il
    > telemarketing?
    > buono
    > > > per
    > > > > fare mago otelma (indovino il n.di
    > tel
    > di
    > > > anna
    > > > > fregna)?
    > > >
    > > > Ma possono scaricare gli avatar WA di
    > chi non
    > li
    > > > rende accessibili pubblicamente? Credo
    > che
    > la
    > > > maggior parte della gente configuri il
    > proprio
    >
    > > > avatar come visibile solo ai propri
    > > > contatti.
    > > a parte che la gente al 99% tiene la cfg di
    > > default (come ci ricordano gli amici nella
    > > relazione) cosa significa 'i propri
    > > contatti'?
    > > tu hai wazzappa ,tra i tuoi contatti hai tua
    > > madre che ha n.tel
    > > +39349123456
    > > io ficco numeri a caso nella MIA rubrica dei
    > > contatti, fino a generare proprio
    > +39349123456...
    > > ora e' anche un mio contatto..
    > > no?
    > >
    >
    > Ma tu non sai chi sia quella persona.
    no, o non proprio... x quel che ne so [NON lo uso] wazzappa memorizza una discreta quantita di cose (username=n.tel, nickname, pw, avatar, lat-long ecc) pero' si il nickname esce fuori in caso di PUSH notification e simili (quindi non lo ricavi meramente inserendo il numero)... ma l'avatar si. (puo darsi ci sia qualche trick per ricavare altro... ma non viene spiegato)
    POI han fatto inferenza con i dati di Viber allo stesso modo...
    POI han sparato ricerche stile images.google.com per vedere se l'avatar era presente su facebook o altri social (e qui tipicamente la gente ha nome e cognome e un sacco di dati)

    > Se invece un tuo amico ha in rubrica il tuo nome
    > e cognome associato al numero di telefono, se tu
    > mi chiami e io ho TrueCaller installato, non vedo
    > un nome a caso, vedo proprio "Bubba Gump" anche
    > se non ho idea di chi tu
    > sia.
    e' bellissimo.Con la lingua fuori
    non+autenticato
  • Perché una cosa trattata circa dodici anni fa da un simpatico gruppo di ragazzi amici della polizia postale se portato avanti da ricercatori diventa una cosa nuova e fighissima?

    Non lo capirò mai.
    non+autenticato
  • - Scritto da: Chicken
    > Perché una cosa trattata circa dodici anni fa da
    > un simpatico gruppo di ragazzi amici della
    > polizia postale se portato avanti da ricercatori
    > diventa una cosa nuova e
    > fighissima?
    >
    > Non lo capirò mai.

    bhè... intanto serve a sensibilizzare...
    non+autenticato
  • - Scritto da: Chicken
    > Perché una cosa trattata circa dodici anni fa da
    > un simpatico gruppo di ragazzi amici della
    un po difficile che questi amici l'abbiano trattata 12 anni fa... wazzappa fortunatamente non esisteva neanche.
    non+autenticato
  • che si sintetizza con:

    se distribuisci informazioni via internet perdi il controllo delle informazioni distribuite
    non+autenticato
  • - Scritto da: mementomori
    > che si sintetizza con:
    >
    > se distribuisci     metti informazioni via internet perdi
    > il controllo delle informazioni
    > distribuite

    Fixed. Ficoso