Hong Kong, neanche Telegram sembra proteggere più gli attivisti

Un sistema permette di visualizzare i contatti conosciuti all’interno di un gruppo. Una funzione che Pechino potrebbe usare per smascherare i dimostranti. La piattaforma respinge le accuse

Esperti informatici di Hong Kong hanno denunciato come una funzione poco chiara di Telegram potrebbe venire utilizzata per ricostruire la rete di utenti che partecipano a un gruppo sul servizio di messaggistica, esponendo in particolar modo gli attivisti che in queste ore protestano contro il governo cinese.

Da dodici settimane gli abitanti della città sono impegnati in cortei e raduni contro l’approvazione di leggi che indebolirebbero l’autonomia di cui la città gode rispetto a Pechino. Per condurre proteste e blocchi cittadini, gli attivisti hanno fatto affidamento fin dall’inizio all’app di messaggistica creata dall’imprenditore russo Pavel Durov, in quanto questa garantirebbe alti standard di sicurezza e la possibilità di inviare messaggi anche in forma cifrata.

Tuttavia, denunciano i tecnici, il numero di telefono degli utenti che partecipano ai gruppi Telegram può essere scoperto anche quando questo è impostato come “privato” nelle opzioni dell’app, venendo così mostrato a chiunque abbia quel numero in rubrica, come riportato per la prima volta da Zdnet.

La scoperta si è diffusa nelle scorse ore su Lihkg, forum utilizzato dai cittadini di Hong Kong, dove i manifestanti hanno espresso preoccupazione. Successivamente alcuni ingegneri locali ne hanno verificato la veridicità, contattando Telegram e denunciando il fatto su Twitter. “Non so quanti manifestanti lo usino, ma so che è estremamente popolare e che le più grandi manifestazioni hanno coinvolto milioni di persone”, ha spiegato a Wired Edwin Chu Ka-cheong, uno dei primi esperti a verificare la vulnerabilità.

Need help from @telegram. We and multiple teams have independently confirmed a serious vulnerability that causes phone numbers to be leaked to members in public groups, regardless of the privacy setting. Telegram is heavily used in #hkprotest, it put HKers in immediate threats

— Chu Ka-cheong (@edwincheese) August 23, 2019

Come sfruttare la funzione di Telegram

Nonostante la possibilità di impostare la condivisione del proprio numero di telefono con “nessuno”, se un utente entra in una chat è in grado di vedere quelli degli utenti di cui ha già il contatto salvato in rubrica. Questo fa sì che, entrando in un gruppo, sia possibile determinare se anche i propri contatti fanno parte della stessa chat.

Come dimostrato da alcune prove condotte dai ricercatori, è possibile creare dei bot la cui rubrica è popolata da una serie sequenziale di possibili numeri di telefono, in modo da verificare quali di quelli siano attivi nelle chat. A questo punto sarebbe estremamente facile per un’agenzia governativa ricavare l’identità del proprietario di un’utenza mobile. Inoltre, un attaccante parastatale potrebbe ottenere direttamente le liste di possibili numeri dalla compagnia telefonica, andando così a verificare quali corrispondono a organizzatori e a attivisti.

“Da quando sono iniziate le proteste, Telegram è sempre stato il principale punto di riferimento per gli organizzatori – spiega Chu -. Quindi all’interno di quelle chat potrebbero esserci anche informazioni compromettenti, sia dal punto di vista dei rischi legali sia di quelli fisici, derivanti [dalle attività] dei gangster”.

Il riferimento è ai ripetuti interventi negli scontri da parte di “uomini vestiti in bianco”, che si contrappongono ai manifestanti, tipicamente vestiti in nero, utilizzando tubi, mazze a altri oggetti contundenti. I manifestanti hanno più volte denunciato che dietro a questi assalti vi sarebbero gli emissari della criminalità organizzata cinese delle triadi, accusate di agire in favore delle posizioni di Pechino.

La risposta di Telegram

Sollecitato dai ricercatori, un portavoce di Telegram ha precisato che “non c’è alcun bug: come in ogni app di messaggistica basata sui telefoni (Facebook Messenger, Whatsapp), Telegram permette di vedere i contatti degli altri utenti dell’app. Le impostazioni permettono il controllo della visibilità del numero di telefono per gli utenti che non hanno il tuo numero (al contrario di WhatsApp che mostra il numero di telefono a chiunque altro in qualsiasi gruppo)”, come si legge in una mail.

Il social ha anche precisato di aver predisposto delle “specifiche misure volte a impedire l’importazione di troppi contatti, proprio per impedire lo scenario delineato” dai ricercatori. Il sistema di sicurezza di Telegram ha impedito infatti al bot utilizzato nella sperimentazione di importare automaticamente più di 85 contatti, nonostante il limite massimo sia di 10mila utenze telefoniche. Raggiunta la soglia massima, ai bot è permesso di caricare solamente cinque nuovi numeri al giorno.

Tuttavia, gli esperti osservano che la possibilità di creare più bot, così da aggirare il limite imposto, non costituisce alcun tipo di problema, soprattutto con le capacità di infiltrazione del governo cinese. Tra le domande inviate dal ricercatore all’azienda, in seguito alla prima risposta fornita, si chiede infatti se Telegram ritiene sia possibile “per un attaccante potente di creare un grande numero di account Telegram in modo da esaurire la quantità di utenze” disponibili a Hong Kong, stimate da Chu in circa cinque milioni. Al momento Telegram non ha ancora risposto a ulteriori chiarimenti.

Come correttamente osservato dal social russo, il numero di telefono dei partecipanti a un gruppo è esposto anche sulle altre piattaforme (Whatsapp e Facebook Messenger), che quindi presenterebbero lo stesso tipo di problemi per la sicurezza. Tuttavia, Telegram è anche l’unico servizio che consente un alto livello di automazione, attraverso la creazione di istanze e di bot, programmabili per agire autonomamente. Sono proprio queste le caratteristiche che espongono maggiormente gli utenti di Telegram, che potrebbero venire individuati dai bot.

Ma lasciare la piattaforma non è un’opzione percorribile per le migliaia di attivisti, dal momento che alternative più sicure (come Signal Private Messenger) non permettono la creazione di gruppi contenenti migliaia di contatti, rendendo impossibile il coordinamento tra gruppi di persone così grandi.

“Non siamo soddisfatti delle risposte di Telegram, per questo abbiamo deciso di inviare ulteriori domande. Per noi il pericolo persiste”, ha spiegato Chu, che prosegue: “Non ho prove che questa vulnerabilità sia stata sfruttata contro loro (gli attivisti). Ma in alcuni casi qualcuno è stato arrestato in quanto membro di qualche gruppo Telegram. Non sappiamo esattamente come la polizia abbia scoperto la loro identità, ma il metodo che abbiamo scoperto potrebbe esserne responsabile”, conclude.