I codici via SMS per l'autenticazione a due fattori non sono sicuri

I codici via SMS per l'autenticazione a due fattori non sono sicuri

L'autenticazione a due fattori via SMS sembra sicura, ma un'inchiesta svela come hacker, governi e aziende possano intercettare i codici.
I codici via SMS per l'autenticazione a due fattori non sono sicuri
L'autenticazione a due fattori via SMS sembra sicura, ma un'inchiesta svela come hacker, governi e aziende possano intercettare i codici.

WhatsApp, Signal, Amazon, Meta, Google, Binance… Tutte queste piattaforme usano gli SMS per l’autenticazione a due fattori. Sembra un sistema blindato, peccato che gli hacker abbiano già trovato il modo di aggirarlo. Hanno architettato diverse tecniche per rubare quei codici, a partire dal famoso SIM swapping.

Autenticazione a due fattori via SMS, cosa c’è dietro

Ma il problema di questo tipo di autenticazione è molto più serio. Lo rivela un’indagine di Bloomberg (via ZDNET) sui fornitori di servizi che inviano effettivamente questi codici via SMS. I codici non vengono mai inviati direttamente dalle aziende di cui sopra. In Europa se ne occupa lo specialista svizzero del settore, noto come Fink Telecom Services.

E se si scava un po’ più a fondo, come hanno fatto i nostri colleghi, emerge un quadro poco rassicurante. L’azienda ha accesso a un’infrastruttura altamente sensibile delle telecomunicazioni: la rete SS7. È quello che fa funzionare il sistema telefonico globale. Permette agli operatori di collaborare per gestire chiamate internazionali, SMS e per far sì che un telefono venga riconosciuto ovunque ci si trovi.

Se un’azienda ha accesso diretto alla rete SS7, in teoria può monitorare la posizione di qualsiasi cellulare nel mondo, intercettare SMS (compreso quelli per l’autenticazione a due fattori), e persino deviare chiamate senza che l’utente se ne accorga. Purtroppo, è un sistema vecchio (progettato negli anni ’70) e mai pensato per un mondo pieno di hacker, governi spioni e aziende private con interessi economici. Eppure è ancora usato ovunque, con falle di sicurezza ben documentate.

Ma non è tutto, come riporta Bloomberg: “L’azienda e il suo fondatore hanno lavorato con agenzie governative di spionaggio e appaltatori del settore della sorveglianza per monitorare i telefoni cellulari e tracciare la posizione degli utenti“. Inoltre: “Ricercatori di sicurezza informatica e giornalisti investigativi hanno pubblicato rapporti che sostengono il coinvolgimento di Fink in molteplici infiltrazioni di account online privati“.

Meglio le chiavi di sicurezza hardware

A questo punto, è evidente che i codici ricevuti via SMS sono in realtà un metodo di connessione molto meno sicuro di quanto si possa credere. È probabile che i governi e i servizi segreti collaborino con aziende come Fink per vanificare la crittografia end-to-end su WhatsApp. O per accedere ai portafogli di criptovalute degli obiettivi su Binance. Il tutto con la complicità di un attore a dir poco controverso.

Per proteggere davvero gli account con l’autenticazione a due fattori, è consigliabile passare alle passkey o una soluzione basata su chiavi di sicurezza hardware, quando possibile. Anche se non tutti i servizi online lo consentono ancora.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
19 giu 2025
Link copiato negli appunti