Nome, cognome e numero di telefono a partire da un avatar WhatsApp o da una foto

Due ricercatori italiani mettono a nudo un punto debole delle app di messaggistica come WhatsApp e Viber. Circa 7 milioni di avatar di utenti italiani associati automaticamente ai rispettivi numeri di telefono.

Due ricercatori autonomi, Federico Ziberna e Claudio Cavalera, hanno messo a nudo una problematica importante che riguarda tutti i principali client di messaggistica istantanea focalizzandosi su WhatsApp e Viber.

I due italiani hanno ideato e descritto i rischi che WhatsApp e Viber portano con sé in termini di violazione della privacy degli utenti.
Il progetto NowISeeYou dimostra come un semplice avatar utilizzato sui client di messaggistica per completare il proprio profilo possa essere sfruttato per risalire immediatamente al proprio numero di telefono e a tutta una serie di dati personali.

Sul sito di NowISeeYou Ziberna e Cavalera spiegano, con apprezzabile dovizia di particolari, come funziona l’exploit per WhatsApp e Viber da loro messo a punto con successo.


I due ricercatori sono riusciti, innanzi tutto, a sviluppare un meccanismo che ha permesso loro di scaricare liberamente una quantità illimitata di avatar collegati ad altrettanti account di utenti dei famosi sistemi di messaggistica istantanea.
Usando come chiave di ricerca gli avatar degli utenti (ed eventualmente altri dati estrapolabili automaticamente dall’immagine con algoritmi di riconoscimento facciale) è stato possibile confrontare l’avatar con le immagini reperibili liberamente in rete o su altri account.
Già questa prima attività ha permesso al duo Ziberna-Cavalera di comporre un database piuttosto ricco con i dati degli utenti di WhatsApp e Viber. Inutile dire che gli algoritmi di intelligenza artificiale aiutano moltissimo in tal senso: ormai non è complicatissimo risalire da un avatar al nome e cognome di una persona ivi raffigurata vista la mole di informazioni pubblicate in rete.

I ricercatori, però, sono poi riusciti a risalire ai numeri telefonici degli utenti raffigurati negli avatar.
Immaginate questo scenario“, osservano gli autori della ricerca. “Possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? Ecco, NowISeeYou ha il vantaggio che su ogni foto del suo schedario c’è appiccicato il numero di telefono del criminale“.

Sul sito del progetto si legge che alle app di messaggistica sono stati “dati in pasto” circa 200 milioni di numeri telefonici per verificare quali di essi fossero effettivamente registrati.
Limitando la ricerca alle numerazioni mobili italiane, Ziberna e Cavalera hanno potuto abbinare ciascun avatar al corrispettivo numero telefonico.

Fra i diversi tipi di attacchi che vengono descritti (e che sono stati lanciati a mero titolo di studio) vi è ad esempio quello che Ziberna ha chiamato il voodoo doll exploit (ovvero l’attacco della bambolina voodoo).
Un aggressore può scattare una foto a una persona qualunque e appoggiandosi a un’apposita applicazione web è possibile confrontare tale foto (la “bambolina”) con uno degli avatar classificati risalendo quindi ai dati del soggetto e al suo numero di telefono personale.

In questa prima fase di studio, NowISeeYou ha potuto raccogliere 7 milioni di avatar e 10 milioni di contatti WhatsApp e Viber.

“Pietra dello scandalo” sono in primis le app di messaggistica stesse: il problema più importante è che gli sviluppatori dovrebbero sempre impedire l’utilizzo e l’elaborazione automatica dei dati da parte di applicazioni di terze parti.
L’accesso ai dati è sempre buona cosa ma non dev’essere possibile, da parte di “applicazioni-vampiro” razziarle su vasta scala.
NowISeeYou inserisce infatti migliaia di numeri in rubrica e poi agisce come un umano navigando all’interno della rubrica e “cliccando” su specifici elementi. Non è ragionevole che un utente in carne ed ossa possa caricare, soprattutto se in un’unica soluzione o quasi, decine di migliaia di account in rubrica.
Sono questi i comportamenti altamente sospetti che gli sviluppatori di app di messaggistica dovrebbero porre al vaglio in maniera automatica.

Noi stessi abbiamo spesso ricordato quanto sia semplice risalire a chi è intestato un numero di telefono mobile usando WhatsApp e Facebook: Cercare numero di cellulare e risalire al nome dell’intestatario.
Provare per credere, la procedura funziona davvero bene.

Link copiato negli appunti