I bug di Instagram: Gramhoot e il furto dei follower

Le vulnerabilità dei social media nell’analisi dell’I-Forensics Team

Al giorno d’oggi, basta avere con sé uno smartphone per connettersi col mondo ovunque ci si trovi: in treno, al ristorante, sulla spiaggia del mare o sulla vetta dell’Everest, siamo tutti always connected. Per sapere cosa sta accadendo vicino a noi o dalla parte opposta della terra, basta fare una capatina su piattaforme social che permettono a chiunque di diventare redattore di una notizia o testimone oculare di un evento.

Simili servizi online esistevano già dal ’97 (come ‘SixDegrees’), molto prima della nascita di Facebook. Si tratta di servizi che sono sempre stati offerti in modo del tutto gratuito. La loro successiva e inarrestabile diffusione li ha trasformati in potentissimi mezzi di guadagno pubblicitario: una prerogativa, questa, che è sempre stata esclusiva di radio e tv. Instagram, ad esempio, è uno dei social media più utilizzati, soprattutto dagli amanti dei selfie. L’app, perché di un applicativo mobile si tratta, permette di scattare foto o di girare video da condividere con il resto della community. Il programma permette anche di migliorare i contenuti prodotti con appositi filtri e di estenderne la condivisione su altri circuiti. Chi utilizza Instagram ha, come scopo, quello di raggiungere una notorietà digitale, collezionando quanti più ‘like’ possibili. L’unità di misura di Instagram sono i ‘follower’, cioè le persone che seguono e visualizzano, quasi in tempo reale, ogni singolo scatto condiviso da un utente. Più follower si hanno, più è alta la possibilità di guadagnare con ciò che si condivide, richiamando l’attenzione di marchi famosi che sfruttano la piattaforma come un potentissimo strumento di marketing.

Recentemente, però, nell’app sono stati scoperti numerosi bug (o vulnerabilità) che hanno permesso di trafugare le credenziali di accesso di milioni di utenti. In questo modo, qualcuno è riuscito ad incrementare in modo automatico, eccessivo e fraudolento il numero dei propri follower, ricorrendo ad appositi bot (o robot). Questi programmi hanno sfruttato il malfunzionamento del protocollo di identificazione utente (detto ‘Token’) per accedere alla piattaforma di Instagram. Bot come ‘Gramhoot’ hanno potuto, così, utilizzare i like, i commenti e le iscrizioni di molti ignari utenti. Si è trattato di una tipica vulnerabilità ‘Zero day’, cioè una vulnerabilità scoperta, tenuta nascosta e sfruttata per compiere accessi abusivi al sistema.

La maggior parte delle aziende che gestiscono siti e applicazioni compiono costanti ricerche di questo tipo, acquistando anche i risultati di quelle condotte da terzi. Famoso è, a tal proposito, il caso di Jani, un bimbo di soli dieci anni, il quale è riuscito a guadagnare qualcosa come 10.000 dollari per aver scoperto e comunicato una grave vulnerabilità nascosta da tempo proprio in Instagram. Jani può essere considerato il più giovane scopritore di bug software che si è mai guadagnato una simile somma, ma non è, e non è stato, certamente l’unico. Nel corso degli anni, sono stati premiati già 800 ricercatori e sempre con cospicue somme di denaro. Simili ricerche hanno permesso di rendere un’app per cellulare o un programma per computer ancor più sicuri. La strategia preferita dalle più importanti aziende che producono software o che gestiscono siti internet (come la stessa Facebook Inc., proprietaria, del resto, anche di Instagram) è quella di promuovere e incentivare simili collaborazioni con i suoi utenti-utilizzatori; cooperazioni finalizzate a rafforzare la sicurezza del proprio prodotto digitale. Da tutto questo emerge una cruda verità che, ogni utente, deve necessariamente conoscere: qualsiasi programma o servizio che la rete offre ha sempre delle vulnerabilità (o bug) nascosti. Come se non bastasse, queste vulnerabilità aumentano paradossalmente ogni volta che esso viene potenziato e migliorato dai suoi sviluppatori. Infatti gli aggiornamenti che vengono periodicamente rilasciati dalla software house di un sito o di un programma, risolvono le falle individuate ma ne creano inevitabilmente delle altre.

I-Forensics Team