Vai al contenuto
Stalking con Telegram, come rimediare

Stalking con Telegram, come rimediare

Ultimo aggiornamento: 2020/03/13 23:40.

Un video di Matteo Flora segnala una funzione di Telegram che permetterebbe di fare stalking usando, paradossalmente, proprio quest’app che viene presentata come più rispettosa della privacy rispetto a tante altre.

La funzione esiste da giugno 2019 (versione 5.8) e si trova nella sezione Contatti: si chiama Trova persone vicine e ovviamente richiede che abbiate autorizzato Telegram a rilevare la geolocalizzazione del vostro telefono (se non l’avete già fatto, quando toccate Trova persone vicine Telegram vi chiederà di farlo): comparirà una lista di persone con
l’indicazione della loro distanza approssimativa da voi.

Questa funzione è molto comoda per aggiungere rapidamente tanti amici ad una festa oppure tanti nuovi contatti di lavoro durante una conferenza o un incontro professionale: basta che i partecipanti entrino in questa funzione e facciano un clic sui nomi per scambiarsi tutte le informazioni di contatto.

Il problema è che Telegram considera “vicine” anche le persone che si trovano a vari chilometri di distanza ed elenca anche persone sconosciute, non solo i vostri contatti.

In altre parole, la funzione si presta allo stalking: se vedo che la mia distanza da una persona diminuisce o aumenta quando mi sposto, posso facilmente dedurre in che direzione si trova e da lì capire la sua posizione esatta. Se due o tre persone si coordinano, possono triangolare la posizione di una persona quasi istantaneamente.

Questo stalking è particolarmente efficace perché non esiste reciprocità: voi potete localizzare gli altri anche quando gli altri non possono localizzare voi. Infatti risulta visibile e localizzabile soltanto chi ha attivato l’opzione Rendimi visibile di Telegram (e ha una foto di profilo pubblica). Quindi se voi non la attivate, siete invisibili ma vedete tutti coloro che l’hanno attivata.

In Trova persone vicine c’è anche una sezione Gruppi,
composta appunto da gruppi a tema di persone che si trovano
geograficamente vicino a voi. Come nota Matteo Flora, potete sfogliare
le immagini, i video e anche la musica condivisa (si presume
illegalmente) da questi utenti.

Se non volete essere tracciabili e rintracciabili da sconosciuti, non attivate Rendimi visibile. E se volete disattivare la geolocalizzazione in Telegram:

  • per i dispositivi Android recenti andate in Impostazioni – Applicazioni – Telegram – Autorizzazioni – Geolocalizzazione
  • per quelli iOS, andate nelle Impostazioni di iOS, scegliete TelegramPosizione – Mai (se non trovate la voce Posizione, vuol dire che la geolocalizzazione in Telegram è già disattivata).

Fonti aggiuntive: GSM Arena, XDA Developers.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Panico da blackout social

Panico da blackout social

Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.

Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.

Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché non si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.

Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come si fa a leggere i messaggi cifrati di WhatsApp e Telegram? Non è difficile

Come si fa a leggere i messaggi cifrati di WhatsApp e Telegram? Non è difficile

Molti utenti pensano che la promessa della crittografia end-to-end fatta da WhatsApp e da molte altre app di messaggistica sia una garanzia assoluta di riservatezza dei messaggi. Ma non è affatto così, e questa percezione illusoria ha colto in fallo nientemeno che Paul Manafort, l’ex coordinatore della campagna elettorale di Donald Trump, che ora è accusato di aver tentato di convincere dei testimoni a mentire a suo beneficio in tribunale.

Secondo i documenti legali depositati dagli inquirenti, Manafort ha usato WhatsApp e Telegram per mandare messaggi cifrati a questi testimoni, ma gli inquirenti sono riusciti lo stesso a leggerli. Questo vuol dire che c’è una falla o una backdoor in WhatsApp, che permette di intercettare e leggere i messaggi protetti dalla crittografia? No.

Come capita spesso, di fronte alle soluzioni tecnologiche si dimentica il lato umano: qualunque messaggio, per quanto sia cifrato da qualunque app, è rivelabile in una maniera estremamente semplice. Basta chiederlo alla persona che l’ha ricevuto.

La crittografia end-to-end, infatti, protegge solo i messaggi in transito da un dispositivo a un altro: rende difficili le intercettazioni durante questo transito e impedisce che il fornitore del servizio di messaggistica possa leggerli, ma non può più fare nulla una volta che il messaggio è arrivato a destinazione. Quindi se le autorità riescono a mettere le mani sul vostro smartphone o semplicemente vi chiedono di mostrare loro i messaggi in questione, la conversazione non è più segreta. Lo stesso vale, naturalmente, se il destinatario decide spontaneamente di condividere con altri il contenuto di un messaggio cifrato.

Nel caso di Manafort, questa semplice tecnica è spiegata da una nota a pié pagina:

Persons D1 and D2 both preserved the messages they received from Manafort and Person A, which were sent on encrypted applications, and have provided them to the government.

È vero, come mi segnala Telegram Wiki, che “Telegram offre la possibilità di aprire chat segrete con timer di autodistruzione dei messaggi, e che in qualunque momento l’utente può eliminare i propri messaggi da una chat segreta, facendoli sparire immediatamente anche al partner”, ma questo non impedisce a chi li riceve di memorizzarli o fotografarli e riferirli a terzi.

Fonte: Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram alle strette rivela il rischio di avere dispositivi chiusi come gli iPhone

Telegram alle strette rivela il rischio di avere dispositivi chiusi come gli iPhone

Telegram è sotto attacco: la Russia lo accusa di favorire i terroristi dando loro un modo per comunicare senza essere sorvegliabili da parte delle autorità, ma il fondatore di Telegram, Pavel Durov, si rifiuta di dare alle autorità russe le chiavi di decrittazione dei messaggi degli utenti.

La sua argomentazione nel mettersi contro il volere di uno stato che ha dimostrato di non essere particolarmente tenero con chi non si adegua alle sue richieste è che consegnare le chiavi di decrittazione non avrebbe nessuna conseguenza utile per l’antiterrorismo: i terroristi non farebbero altro che spostarsi su un’altra app di messaggistica protetta.

Le autorità russe hanno reagito bloccando Telegram, ma Telegram ha trasferito i propri servizi sui cloud di Google e Amazon, per cui se le autorità vogliono bloccare Telegram dovrebbero bloccare tutto Google e tutto Amazon. Impraticabile, anche se la Russia attualmente ha bloccato circa 16 milioni di indirizzi IP, quasi tutti di Amazon Web Services e Google Cloud. Comunque gli utenti possono eludere il blocco.

Gli app store di Android (Google) e iOS (Apple) continuano ad ospitare l’app, ma BoingBoing coglie l’occasione per una riflessione di fondo: se Apple o Google cedono alle pressioni russe e bloccano l’app di Telegram, sarà molto difficile per gli utenti russi riuscire a procurarsela o ottenerne gli aggiornamenti.

Gli utenti Android dovranno solo attivare un’opzione del loro telefonino per installare Telegram da fonti alternative, ma gli utenti iOS dovranno fare i salti mortali (jailbreak) per fare altrettanto. È il difetto dei sistemi chiusi: creano un nuovo punto debole.

Fonte aggiuntiva: Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate Telegram per Windows: ha una falla

Aggiornate Telegram per Windows: ha una falla

Fonte: Kaspersky Lab.

Ultimo aggiornamento: 2018/02/16 17:45.

Un altro esempio (dopo Skype) dell’importanza di aggiornare il software arriva da Telegram. I ricercatori di Kaspersky hanno scoperto che la versione Windows di questa popolare app di messaggistica aveva una falla che permetteva agli aggressori informatici di prendere il controllo dei PC e installare malware e programmi per la generazione di criptovalute.

Gli attacchi sono in corso almeno da marzo 2017 e derivano da un difetto nella gestione delle lingue che si scrivono da destra a sinistra. Il difetto era sfruttabile, e veniva attivamente sfruttato, inviando alla vittima semplicemente un allegato che sembrava essere un’immagine ma era in realtà un JavaScript ostile che veniva eseguito sui PC privi di difese.

Per esempio, il nome vero dell’allegato poteva essere photo_high_regnp.js, quindi un JavaScript, ma veniva presentato all’utente bersaglio come photo_high_resj.png (in modo da sembrare un’immagine PNG) perché dopo photo_high_re c’era il carattere Unicode U+202E che inverte l’ordine dei caratteri che lo seguono, per cui gnp.js viene visualizzato come sj.png. Ingegnoso.

La falla è risolta nella versione più recente di Telegram, per cui il modo migliore per risolverla è aggiornarsi.

A parte questo scivolone, è importante ricordare che Telegram non cifra i messaggi in modo client-client (molto difficile da intercettare) se non glielo chiedete appositamente usando una chat segreta (secret chat) e usa un protocollo di sicurezza ritenuto insicuro dagli esperti. Per carità, per l’utente comune usare Telegram consente una maggiore privacy rispetto a WhatsApp (che cifra tutto end-to-end ma prende i metadati dell’utente e li condivide con Facebook). Se avete esigenze davvero serie, provate Signal.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram “violato”, le precauzioni da prendere

Telegram “violato”, le precauzioni da prendere

Ha fatto scalpore la notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.

Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.

Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la verifica in due passaggi introdotta da Telegram l’anno scorso.

L’identificazione di massa degli utenti, invece, è stata liquidata da Telegram come un non problema, perché “sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.

Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.

Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il contenuto delle sue comunicazioni ma sfruttando soltanto i metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.

Fonti: Sophos, @pwnallthethings.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Telegram tiene i messaggi in chiaro? I tweet degli esperti

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Telegram è indicata da molti come un’applicazione di chat molto sicura. Ma oggi nel mio flusso di tweet ho notato questo scambio:

tqbf
By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER.
19/12/15 05:15

Un’accusa piuttosto pesante: i messaggi sarebbero custoditi in chiaro sui server di Telegram. Qualcuno chiede prove, e la risposta è questa: un link alla documentazione interna dell’app.

moxie
@sc0p3r It’s just how Telegram works and is self-documented to work: https://t.co/GMD3mryXoN Only their marketing copy suggests otherwise.
19/12/15 15:24

A questo punto interviene nientemeno che Pavel Durov, fondatore ed ex CEO di Telegram, smentendo tutto:

durov
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS?
19/12/15 17:49

Già così la cosa si fa interessante, ma poi arriva Edward Snowden:

Snowden
I respect @durov, but Ptacek is right: @telegram’s defaults are dangerous. Without a major update, it’s unsafe. https://t.co/pbBt2rHr5x
19/12/15 18:53
Snowden
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it’s “stored.”
19/12/15 19:03

Mi piacerebbe saperne di più, per cui chiedo agli esperti che leggono questo blog di contribuire con i propri commenti, ma di certo sentir dire da Snowden che Telegram è insicuro dev’essere una mazzata notevole.

Il thread della discussione citata qui sopra prosegue su Twitter qui.

Andrea Draghetti mi segnala che ci sono dettagli su Zimperium.com su come Telegram salvi in chiaro i messaggi sul dispositivo dell’utente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram blocca gli utenti pro-ISIS. Ma come fa a riconoscerli, se è tutto cifrato come dice?

Telegram blocca gli utenti pro-ISIS. Ma come fa a riconoscerli, se è tutto cifrato come dice?

La notizia che gruppi legati al terrorismo dello Stato Islamico comunicano usando l’app Telegram perché offre una crittografia dei messaggi migliore rispetto agli altri sistemi di messaggistica ha spinto i gestori di Telegram a intervenire annunciando di aver “bloccato 78 canali legati all’ISIS in 12 lingue”.

Ma gli utenti legittimi di Telegram, quelli che usano la sua crittografia per comunicare in modo riservato per tutelare la propria privacy, come è diritto di chiunque fare, hanno drizzato le orecchie: se Telegram cifra i messaggi così bene che neanche i suoi gestori li possono leggere (come dichiarato nelle sue FAQ), come fa a sapere quali messaggi bloccare?

La risposta è che in realtà non tutto il traffico di dati delle comunicazioni di Telegram è cifrato. Spiega infatti Telegram: “tutte le chat di Telegram e le chat di gruppo sono private fra i loro membri… Tuttavia i pacchetti di sticker, i canali e i bot su Telegram sono pubblicamente disponibili”. I canali di Telegram sono un modo per trasmettere uno stesso messaggio a un numero elevato di destinatari, mentre i bot sono degli account di gestione automatica dei messaggi e i pacchetti di sticker (sticker set) sono gruppi di icone disegnate in dettaglio, che mostrano un personaggio e rappresentano un’azione o un’emozione (degli emoji più raffinati, insomma). E poi ci sono i metadati: chi ha parlato con chi, le rubriche telefoniche degli utenti, e altro ancora.

L’intervento dei gestori di Telegram, quindi, si limita a questi aspetti del servizio: i messaggi all’interno dei gruppi privati su Telegram restano inaccessibili. L’unico modo per monitorare questi gruppi è infiltrarli e farne parte, segnalandoli all’apposito indirizzo abuse@telegram.org.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.