Signal è una delle app per la messaggistica istantanea più apprezzate in assoluto. Il suo autore, Moxie Marlinspike, ha sviluppato anche l’algoritmo crittografico end-to-end alla base del funzionamento dell’applicazione che è stato poi fatto proprio anche da WhatsApp.
Abbiamo visto come funziona Signal e che cosa lo rende unico rispetto ai vari concorrenti.
Uno degli aspetti più importanti è che la cronologia delle chat, gli allegati e l’elenco dei contatti non vengono conservati sui server di Signal, neppure in forma crittografata.
Si tratta di una caratteristica che merita di essere posta in evidenza e che emerge quando un fornitore di terze parti come Twilio subisce un attacco.
Signal ha scelto Twilio come partner per la gestione dei servizi di verifica del numero di telefono degli utenti. Quando un utente si registra su Signal con il suo numero di cellulare, questi riceve un codice di verifica via SMS: l’invio di questo dato viene elaborato proprio da Twilio.
A gennaio 2022 gli utenti di Signal erano circa 40 milioni. Con una nota ufficiale Signal ha rivelato che appena 1.900 utenti risultano potenzialmente affetti da un problema di sicurezza manifestatosi in seguito all’attacco phishing subìto dal personale di Twilio.
In seguito all’attacco sferrato nei confronti di Twilio, utenti malintenzionati hanno avuto accesso alla console dell’assistenza clienti della stessa Twilio. Nel caso di circa 1.900 utenti i rispettivi numeri di telefono sono stati potenzialmente rivelati come legati a un account Signal ed è stato rivelato il codice di verifica SMS utilizzato per registrarsi sull’app di messaggistica.
Durante la finestra temporale in cui utenti non autorizzati hanno potuto servirsi dei sistemi di assistenza clienti Twilio, sarebbe stato possibile registrare i numeri di telefono altrui su terminali non autorizzati usando lo stesso codice di verifica SMS.
Signal aggiunge che tra i 1.900 numeri di telefono, l’aggressore ne avrebbe cercati espressamente 3 registrando i corrispondenti account su terminali non in possesso dei legittimi proprietari.
L’attacco è stato bloccato sia lato Twilio che lato Signal (gli utenti sono stati informati dell’accaduto e invitati a porre in essere alcune misure di sicurezza). Quanto successo mostra come un problema di sicurezza lamentato da un fornitore di servizi possa aprire la strada ad aggressioni di vario genere o furti d’identità, come nel caso di specie.
Signal, come detto, non condividere la cronologia delle chat, gli allegati e tutte le altre informazioni quando si registra l’account utente su un nuovo dispositivo. Gli utenti sono quindi automaticamente posti al riparo dalle violazioni più gravi.
Per scongiurare attacchi come quello avvenuto in seguito all’incidente occorso a Twilio, tuttavia, Signal esorta gli utenti ad accedere alla sezione Account dell’app e attivare l’opzione Blocco registrazione. In questo modo, ogniqualvolta si registrasse l’account Signal su un altro dispositivo mobile, verrebbe richiesto un PIN di conferma (esso rimarrebbe sconosciuto ad eventuali aggressori).
In un altro articolo abbiamo visto come cambiare numero di telefono su Signal e cosa significa l’addio di Marlinspike alla “prima linea”.