Perché gli utenti di Signal vengono hackerati (non l'app)

La crittografia di Signal funziona. Sono gli utenti il bersaglio.

Signal ha a lungo goduto della reputazione di essere il gold standard per la messaggistica privata. La sua crittografia end-to-end è matematicamente solida, il suo codice è open source e il suo protocollo è considerato affidabile dai ricercatori di sicurezza di tutto il mondo. Quindi, quando sono emersi rapporti che indicano come hacker collegati alla Russia stiano compromettendo con successo account Signal appartenenti a utenti di alto profilo, la domanda naturale è: Signal è stato hackerato?

La risposta breve è no. La crittografia di Signal non è stata violata. Ciò che è stato violato è qualcosa di molto più difficile da correggere: la fiducia umana.

Secondo i rapporti, gli aggressori stanno utilizzando sofisticate campagne di phishing per indurre gli utenti di Signal a concedere autonomamente l'accesso ai propri account. Il metodo prevede tipicamente falsi avvisi di sicurezza dall'aspetto convincentemente ufficiale, che spingono i bersagli a collegare un nuovo dispositivo al proprio account. Una volta avvenuto ciò, l'aggressore riceve in tempo reale un mirror attivo dei messaggi della vittima, senza mai toccare i server di Signal né violare una singola riga di crittografia.

Questa è una distinzione fondamentale. L'app non è la vulnerabilità. Lo è il comportamento dell'utente.

Come funziona effettivamente l'attacco

Signal supporta una funzionalità legittima chiamata dispositivi collegati, che consente agli utenti di accedere al proprio account da più telefoni o computer contemporaneamente. Gli aggressori sfruttano questa funzionalità generando codici QR o link dannosi che, una volta scansionati o cliccati, aggiungono silenziosamente il dispositivo dell'aggressore all'account della vittima.

I messaggi di phishing sono progettati per creare un senso di urgenza. Possono affermare che l'account dell'utente è stato compromesso, che è necessario verificare la propria identità, o che un aggiornamento di sicurezza richiede un'azione immediata. I bersagli di alto valore sotto pressione sono più inclini ad agire rapidamente e meno propensi a esaminare attentamente la richiesta.

Una volta collegato, l'aggressore non ha bisogno di decifrare nulla. Legge semplicemente i messaggi man mano che arrivano, in testo normale, esattamente come farebbe qualsiasi dispositivo collegato legittimo. Può anche impersonare la vittima nelle conversazioni in corso, il che ha serie implicazioni per giornalisti, attivisti, avvocati, funzionari governativi e chiunque altro gestisca comunicazioni sensibili.

Questo tipo di attacco viene talvolta definito attacco di ingegneria sociale o acquisizione di account tramite accesso autorizzato. Non richiede alcun exploit zero-day, nessuna violazione di server e nessuna magia crittografica. Richiede soltanto che il bersaglio commetta un errore.

Cosa significa per te

Se usi Signal perché tieni alla privacy, questa notizia non dovrebbe spingerti ad abbandonare l'app. Signal rimane una delle piattaforme di messaggistica più affidabili disponibili, e la crittografia sottostante continua a proteggere i messaggi dall'intercettazione durante il transito. Ma questa situazione è un promemoria del fatto che la crittografia è uno strato di una postura di sicurezza, non l'intera cosa.

Pensaci in questo modo: la porta di una cassaforte è efficace solo se qualcuno non consegna la chiave a un aggressore che afferma di essere un fabbro.

Per la maggior parte degli utenti comuni, il rischio derivante da questa specifica campagna di origine russa è basso. I bersagli segnalati sono individui di alto profilo, probabilmente persone coinvolte in lavori politici, militari o giornalistici sensibili. Ma le tattiche utilizzate non sono esotiche. Gli attacchi di phishing che utilizzano falsi avvisi di sicurezza sono comuni su ogni piattaforma, e la funzionalità dei dispositivi collegati non è esclusiva di Signal.

Gli utenti attenti alla privacy, a qualsiasi livello di rischio, dovrebbero trattare le proprie app di messaggistica come i professionisti della sicurezza trattano qualsiasi sistema sensibile: con difese a più livelli e una consapevolezza costante.

Misure pratiche per proteggere il tuo account Signal

Ecco cosa puoi fare subito per ridurre la tua esposizione:

Controlla regolarmente i tuoi dispositivi collegati. Il menu delle impostazioni di Signal mostra ogni dispositivo attualmente collegato al tuo account. Se noti qualcosa di non familiare, rimuovilo immediatamente. Fai di questo un controllo di routine, non un'azione occasionale.

Sii profondamente scettico riguardo agli avvisi di sicurezza. Le app legittime raramente inviano messaggi urgenti che ti chiedono di scansionare un codice QR o cliccare un link per verificare il tuo account. Tratta qualsiasi richiesta di questo tipo come sospetta per impostazione predefinita, anche se sembra ufficiale.

Attiva il blocco di registrazione di Signal. Questa funzionalità richiede un PIN prima che il tuo account possa essere re-registrato su un nuovo dispositivo. Aggiunge un ostacolo per gli aggressori che tentano di acquisire l'account.

Proteggi il dispositivo stesso. La crittografia di Signal protegge i messaggi durante il transito. Se il tuo telefono viene sbloccato e consegnato a qualcuno, o compromesso da malware, quella protezione cessa. Password del dispositivo robuste, blocchi biometrici e mantenere aggiornato il sistema operativo sono tutti elementi importanti.

Considera la sicurezza della tua rete complessiva. Per gli utenti che gestiscono comunicazioni genuinamente sensibili, instradare il traffico attraverso una VPN affidabile aggiunge uno strato di anonimato che rende più difficile per gli aggressori profilare la tua attività, identificare la tua posizione o condurre la ricognizione che spesso precede il phishing mirato. Una VPN non risolve il phishing, ma fa parte di un approccio a più livelli che riduce l'esposizione complessiva.

Verifica fuori banda. Se ricevi un messaggio sospetto anche da un contatto conosciuto, conferma la richiesta attraverso un canale completamente separato — una telefonata, una conversazione di persona o un'altra app — prima di intraprendere qualsiasi azione.

La lezione di questi attacchi di phishing a Signal non è che la messaggistica crittografata sia inutile. È che nessun singolo strumento rappresenta una soluzione completa. Signal protegge i tuoi messaggi in modo eccellente. Proteggere il tuo account richiede che tu rimanga vigile nei confronti dei modi in cui gli aggressori cercano di aggirare completamente la tecnologia — prendendo di mira te invece di essa.