Forse mi pentirò di aver scritto questo articolo ma in realtà lo faccio con uno scopo ben preciso. Non voglio insegnarvi a violare un account Whatsapp ma vorrei sensibilizzare tutti voi ad un uso consapevole di internet, nello specifico, salvaguardare la vostra privacy e di rendervi più consapevoli dei rischi che correte semplicemente essendo connessi alla rete. Nello stesso tempo vorrei lanciare un messaggio di allarme alle telco che gestiscono questi servizi.
Fatte le dovute premesse, veniamo a quanto scritto nel titolo del post: di seguito descriverò in breve come è possibile impadronirsi di un account WhatsApp utilizzando le segreterie telefoniche dei nostri operatori mobile.
Come forse non saprete o magari solo alcuni di voi conoscono, sui nostri telefoni o meglio sulle sim, viene abilitato dagli operatori un servizio di segreteria telefonica che registra i messaggi del chiamante, nel caso in cui non viene presa una telefonata o l’utente risulta irraggiungibile.
Servizio molto utile se non fosse che, proprio la segreteria telefonica, rappresenta il punto debole che permette ad un attaccante di violare l’account WhatsApp della vittima.
WhatsApp mette a disposizione 2 opzioni per poter recuperare il vostro account.
E sono:
- Invia/Reinvia SMS
- Chiamami
Le vulnerabilità dell’opzione SMS le conosciamo, ne ho parlato in questo articolo. Concentriamoci sulla seconda opzione, “Chiamami“.
Per avere disponibile la seconda opzione, è necessario attendere 1 minuto. Questo perchè WhatsApp verifica sul telefono in modo automatico l’arrivo dell’SMS. Se allo scadere del tempo non riuscirà ad intercettare l’SMS abiliterà la seconda opzione.
Una volta fatto tap su Chiamami Whatsapp chiamerà il numero della vittima, ma se la vittima per puro caso non risponde alla chiamata, per esempio perché sta dormendo o è in viaggio in aereo :) si attiverà la segreteria telefonica.
La segreteria telefonica prenderà la chiamata per voi e registrerà il codice che WhatsApp avrà inviato per fare l’identificazione.
Ora quello che ci rimane da fare è ascoltare il messaggio nella segreteria telefonica. Per eseguire quest’ultimo passo è necessario conoscere l’operatore telefonico della vittima e sperare che questa abbia la segreteria abilitata.
Ps. Ringrazio il mio amico b1rd4ck, per essersi messo a disposizione per i test.
(In)Security degli operatori mobile
Ho fatto un breve giro online selezionando le telco più note ed il risultato che ne è emerso è preoccupante: tutte utilizzano sistemi non sicuri per l’accesso alla segreteria telefonica o bypassabili da tecniche note da diverso tempo. Alcuni operatori, inoltre, abilitano di default la segreteria su tutte le proprie Sim.
Vediamoli ad uno ad uno:
Tim
Numero della segreteria da chiamare 41919 se si è all’estero bisogna fare lo stesso numero con prefisso 36 e digitare # a seguito del collegamento.
Il codice personale per accedere alla segreteria è composto da 8 cifre e per impostarlo bisogna chiamare dal proprio telefonino il numero 40920. Altrimenti inviare dal proprio telefono un sms con il testo “ST”(spazio)”numero di 8 cifre”.
Attraverso il “Caller ID Spoofing” è possibile chiamare il 41919 e accedere alla segreteria e ad ascoltare tutti i messaggi della vittima.
Vulnerabile anche a SMS ID Spoofing, è possibile inviare un sms con mittente falsificato e identico al numero della vittima attivando e/o modificando il codice a 8 cifre in modo arbitrario.
Consiglio: per disattivare totalmente la Segreteria Telefonica basta digitare sulla tastiera del telefonino ##002# INVIO.
Vodafone
Se con Tim dovevi impegnarti un minimo, Vodafone mette a disposizione un codice predefinito per effettuare il primo accesso. Anche in questo caso, nel caso in cui la vittima non conoscesse queste particolari istruzioni (la maggior parte), è possibile tramite sempre lo spoofing del numero del mittente accedere alla segreteria chiamando il numero 42020 e utilizzando il codice 123456. 
Wind
Per ascoltare invece la segreteria telefonica di Wind è possibile chiamare il numero 4200 dallo stesso telefono, invece da altri telefoni utilizzare il numero 3232054200.
Gentilmente Wind ti ricorda che:
Ricorda che se ascolti la tua Segreteria da un altro telefono o dall’Estero, ti sarà richiesto il codice d’accesso. Il codice standard è 2121 oppure 1111 se il tuo abbonamento o la tua ricaricabile sono stati attivati dopo il 14 giugno 2004. Il codice d’accesso garantisce la riservatezza dei tuoi messaggi e li protegge da ascolti indesiderati, ti suggeriamo perciò di modificarlo e memorizzarlo.
Siamo in una situazione in cui non è necessario utilizzare nessun tipo di tecnica, basta chiamare la segreteria e inserire i codici richiesti. Se la vittima è stata scrupolosa e ha sostituito il codice, basta riapplicare la tecnica dello spoofing dell’id chiamante.
Si consiglia vivamente di cambiare il proprio codice o disattivare la segreteria telefonica componendo questo codice: ##62# invio
Tre Italia
Per accedere alla segreteria telefonica di 3 si deve contattare dal proprio telefono il numero 4133. Mentre dall’estero e da altri numeri fissi componendo il numero +39 393 393 4133. Se si chiama da altri numeri ci si deve autenticare e per farlo è necessario avere a disposizione il PIN (che corrisponde al codice PIN originale della tua Sim all’attivazione e che ti consente di accedere anche al servizio Webmail) seguiti dal tasto #.
Anche in questo caso chiamare spoofando il numero della vittima verso la segreteria è possibile avere accesso senza l’utilizzo del Pin bypassando il sistema di autenticazione.
Per disattivare qualsiasi trasferimento di chiamata (anche verso la segreteria) basta inserire, direttamente dal proprio telefono, la stringa ##002# e dare Invio
Conclusione
Come abbiamo visto, gli operatori trascurano la sicurezza di questi servizi e non pensano ad una possibile violazione delle caselle di segreteria telefonica. Dall’altra parte molti utenti non sanno di avere questo servizio attivo e questo fattore diventa essenziale per un attaccante che vuole ad esempio impadronirsi del tuo account Whatsapp. Quindi non ci resta che disattivare la segreteria telefonica fino a quando non avranno sistemato le cose.
Sembra chiaro che non cè nulla di interessante nel violare l’account Whatsapp di qualcuno se non per qualche scherzo idiota. Anche perchè vi ritroverete senza nessun messaggio da leggere e qualche problema legale in più.
La cosa importante è che in tutto questo c’è di mezzo la vostra privacy. Se ancora vi importa qualcosa di quello che tenete online, sul vostro telefono o dei messaggi lasciati nella vostra segreteria allora disattivatela e vivrete leggermente più sereni.
Per ora.
Per evitare che tentiate di fare accessi abusivi alle segreterie dei vostri conoscenti evito di approfondire il discorso sulle tecniche di Spoofing citate. Vi pregherei anche di non scrivermi in privato su come poterlo fare. L’accesso abusivo alle segreterie di altre persone può considerarsi un reato quindi vi sconsiglio vivamente di provarci. Quanto appena scritto è solo per sensibilizzarvi ad un uso più consapevole di internet di come funziona questo sistema e quindi, come stare alla larga da questi problemi di sicurezza.
Alessandro Baroni
15 Settembre 2017 — 13:35
Buongiorno Fabio.
Complimenti per il blog per i contenuti che sai trattare ed esporre in modo davvero chiaro ed esaudiente.
Ho letto stamane questo tuo articolo e spinto dalla curiosità, ho provato a seguire la procedura, provando a “spiare” l’ account Whatsapp di mia mamma (informandola ovviamente, prima dell’esperimento) …Mi spiego.
Oltre al mio cellulare, sul quale ho chiaramente installata una SIM, ho poi un tablet senza SIM, collegato a rete Wi-Fi domestica, ed ho installato Whatsapp.
Dopo di che, ho tentato di configurare l’account clone di mia mamma ed ho inserito il codice pervenuto via SMS sulla segreteria (sempre di mia mamma).
Il risultato è stato che mi è apparsa la fotografia del profilo Whatsapp di mamma, ma appena confermo il nome del profilo, appare al fondo del display indicazione ATTIVAZIONE IN CORSO – ATTENDERE, ma in realtà si blocca tutto!
Dove potrebbe essere il problema?
Il cellulare della ” vittima” dovrebbe essere spento?
Grazie e ancora complimenti.
Alessandro