NowISeeYou, l’avatar è tuo nemico

NowISeeYou, l’avatar è tuo nemico

Due ricercatori italiani indipendenti hanno fatto recentemente parlare molto di se grazie a NowISeeYou, attacco di nuova concezione contro le app di messaggistica istantanea. Un attacco che gli autori hanno presentato come “il primo e più rilevante privacy hacking basato sulle immagini”, con scenari potenzialmente disastrosi per la riservatezza di quegli utenti indisponibili ad adottare una pratica di opsec (operational security) moderna.

Federico Ziberna e Claudio Cavalera, questo il nome dei due ricercatori, hanno descritto quello che secondo loro è “un genere completamente nuovo di violazione della privacy basato sulle immagini utilizzate dagli utenti come avatar”. Un problema grave, che riguarda o comunque “potrebbe coinvolgere” gran parte degli utenti di Whatsapp e Viber – due dei network di instant messaging (IM) più usati al mondo.

La ricerca degli “hacker etici” si è limitata all’utenza italiana delle due suddette comunità, e ha portato alla raccolta e all’analisi di 200.000.000 di numeri telefonici, 10.000.000 di contatti “trovati” e 7.000.000 di avatar – le immagini usate dagli utenti come profilo.

In breve, ecco come funziona NowISeeYou: un tool personalizzato inserisce, in maniera seriale e automatica, numeri di telefono generati pseudo-casualmente nella rubrica di un telefono (emulato o reale), procede alla verifica dell’esistenza di ogni numero su un network di IM, recupera e memorizza l’abbinamento dell’avatar – di quello che fin qui è ancora uno sconosciuto – a un numero telefonico.

Dall’avatar è poi possibile estrarre dati aggiuntivi (età presunta, sesso, tratti somatici ecc.) tramite gli algoritmi di riconoscimento biometrico, e con lo stesso avatar è poi possibile effettuare una ricerca comparativa con altre immagini liberamente disponibili sul Web. L’obiettivo finale è collegare oltre ogni possibilità di dubbio il numero telefonico della app di IM con una persona reale.

Il problema sollevato dal lavoro di Ziberna e Cavalera è esacerbato dalla possibilità, verificata nella pratica dai due ricercatori, di scaricare liberamente “una quantità illimitata di avatar collegati ad altrettanti account di utenti” dei servizi di messaggistica istantanea.

Come ci può difendere da un attacco potenzialmente così pervasivo e dannoso per la riservatezza? Ziberna e Cavalera suggeriscono alcune misure in grado di mitigare la violazione della privacy a mezzo avatar per tutti gli attori in gioco: gli utenti possono adoperare foto e immagini diverse per ciascuno dei social network su cui sono registrati, gli sviluppatori di servizi IM possono introdurre controlli aggiuntivi lato server – impedendo magari il caricamento di 30.000 contatti in una rubrica – i creatori di app possono infine implementare meccanismi di difesa (come “una nuova generazione di CAPTCHA”) con cui impedire abusi da parte delle app “vampiro” progettate per simulare il comportamento di un essere umano.

Il principio su cui si basa Avira è quello di costruire le migliori tecnologie di sicurezza al mondo cosicché i clienti possano utilizzare Internet senza paura. Nel perseguimento di questa missione, Avira offre oggi una serie completa di applicazioni di sicurezza completamente gratuite per Windows, Mac, iOS e Android.