NowISeeYou, ethical hacking all'italiana

Due ricercatori italiani lanciano l'allarme sulla possibilità di violare l'identità degli utenti dei servizi di messaggistica istantanea a partire dagli avatar pubblici. Un problema che coinvolge milioni di netizen nostrani

Si chiama NowISeeYou e secondo i suoi autori rappresenta “il primo e più rilevante privacy hacking basato sulle immagini”. Autori dello studio sono Federico Ziberna e Claudio Cavalera, ricercatori italiani indipendenti, che evidenziano i rischi connessi all’uso di fotografie “reali” o altri avatar riconoscibili sui servizi di messaggistica istantanea più popolari .

Stando a quanto sostengono i ricercatori , il tipo di attacco da loro ideato potrebbe infatti coinvolgere “gran parte” degli utenti di WhatsApp e Viber, con l’identificazione dell’identità “reale” di un utente dei suddetti servizi di IM accanto al numero di telefono usato sul network.

nowiseeyou

Il sistema ideato da Ziberna e Cavalera prevede prima di tutto il download di una “quantità illimitata” di avatar degli account IM, immagini da cui è poi possibile estrapolare chiavi di ricerca rilevanti inclusi quelle estrapolabili con gli algoritmi di riconoscimento facciale come etnia, età, sesso e altro.

In questo modo, dicono gli autori, è potenzialmente possibile “collegare il numero di telefono di uno sconosciuto qualunque ad una persona reale” – e tutto grazie all’uso degli avatar usati sui network di IM.

Suggestivo e degno di nota lo scenario tratteggiato dai ricercatori per spiegare l’utilità del loro lavoro: “possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? ecco: solo che nowiseeyou ha il vantaggio che su ogni foto del suo schedario c’è appiccicato il numero di telefono del criminale…”.

Una delle conseguenze potenziali dell’abuso di avatar è l’attacco che i ricercatori chiamano “voodoo doll exploit”, uno scenario in cui un malintenzionato fa una foto a una persona qualsiasi (magari in spiaggia) e poi si serve del tool di NowISeeYou per verificare la presenza dell’avatar nel suo database per risalire al numero di telefono della “vittima”.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • mago trollanus scrive:
    Google velocizza i pagamenti su Android
    (rotfl)(rotfl)(rotfl)[img]http://cdn2.hubspot.net/hubfs/3477487/fail%20fast.jpg[/img](rotfl)(rotfl)(rotfl)(anonimo)
  • oboje scrive:
    manca solo questo
    Mi guardo bene dal comunicare i miei dati a Google, per ottenere non si sa quali vantaggi.Li tengo nella testa, per ora il posto più sicuro.
  • Enry scrive:
    Ma quanto sono bravi tutti quanti...
    quando si tratta di farci spendere senza farci pensare troppo a quello che stiamo facendo... basta un click... e il portafoglio si svuota... ovviamente il nostro... Enry
    • Mao99 scrive:
      Re: Ma quanto sono bravi tutti quanti...
      - Scritto da: Enry
      quando si tratta di farci spendere senza farci
      pensare troppo a quello che stiamo facendo...
      basta un click... e il portafoglio si svuota...
      ovviamente il nostro...


      EnryGia' hai ragione e la cosa sta degenerando perche' sempre piu' persone vanno in questa direzione felici di tutto questo, a me fa paura e poi i soldi solo in numeri sul PC, virtuali (le crypto monete altro discorso),sempre peggio..
  • Fan innamorato di Bertuccia il macaco scrive:
    Mmm tutto molto bello
    Bisogna però suggerirgli di creare anche un app per guadagnare, oltre che per spendere.Secondo me avrebbe più sucXXXXX.
Chiudi i commenti