NowISeeYou, ethical hacking all'italiana

Due ricercatori italiani lanciano l'allarme sulla possibilità di violare l'identità degli utenti dei servizi di messaggistica istantanea a partire dagli avatar pubblici. Un problema che coinvolge milioni di netizen nostrani
Due ricercatori italiani lanciano l'allarme sulla possibilità di violare l'identità degli utenti dei servizi di messaggistica istantanea a partire dagli avatar pubblici. Un problema che coinvolge milioni di netizen nostrani

Si chiama NowISeeYou e secondo i suoi autori rappresenta “il primo e più rilevante privacy hacking basato sulle immagini”. Autori dello studio sono Federico Ziberna e Claudio Cavalera, ricercatori italiani indipendenti, che evidenziano i rischi connessi all’uso di fotografie “reali” o altri avatar riconoscibili sui servizi di messaggistica istantanea più popolari .

Stando a quanto sostengono i ricercatori , il tipo di attacco da loro ideato potrebbe infatti coinvolgere “gran parte” degli utenti di WhatsApp e Viber, con l’identificazione dell’identità “reale” di un utente dei suddetti servizi di IM accanto al numero di telefono usato sul network.

nowiseeyou

Il sistema ideato da Ziberna e Cavalera prevede prima di tutto il download di una “quantità illimitata” di avatar degli account IM, immagini da cui è poi possibile estrapolare chiavi di ricerca rilevanti inclusi quelle estrapolabili con gli algoritmi di riconoscimento facciale come etnia, età, sesso e altro.

In questo modo, dicono gli autori, è potenzialmente possibile “collegare il numero di telefono di uno sconosciuto qualunque ad una persona reale” – e tutto grazie all’uso degli avatar usati sui network di IM.

Suggestivo e degno di nota lo scenario tratteggiato dai ricercatori per spiegare l’utilità del loro lavoro: “possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? ecco: solo che nowiseeyou ha il vantaggio che su ogni foto del suo schedario c’è appiccicato il numero di telefono del criminale…”.

Una delle conseguenze potenziali dell’abuso di avatar è l’attacco che i ricercatori chiamano “voodoo doll exploit”, uno scenario in cui un malintenzionato fa una foto a una persona qualsiasi (magari in spiaggia) e poi si serve del tool di NowISeeYou per verificare la presenza dell’avatar nel suo database per risalire al numero di telefono della “vittima”.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

24 10 2017
Link copiato negli appunti