L’allarme è partito dal New York Times e si sta espandendo a macchia d’olio, gettando nel panico tutti gli utilizzatori di cellulari.
Una falla nella tecnologia di codifica usata su molte SIM card di tutto il mondo potrebbe permettere a malintenzionati di prendere facilmente il controllo di un telefono.
La falla è presente da parecchio tempo e conosciuta da alcuni pprofessionisti in sicurezza ma finora non era mai stata divulgata.
Ci ha pensato Karsten Nohl, fondatore di Security Research Labs, diffondendo la notizia dellì’esistenza di una vulnerabilità che permette di ottenere in poco più di un minuto la chiave digitale della SIM, una sequenza composta da 56 cifre che consente di controllare e modificare il chip presente sulla stessa. Tutte le e SIM utilizzavano fino a povo tempo fa la tecnologia DES per la cifratura, ed è proprio nelle sue runtime che è stata scoperta la vulnerabilità. Attualmente molti sono già passati a AES, più sicura, ma la stima dei ricercatori è che ci siano ancora circa 750 milioni di cellulari in tutto il mondo vulnerabili. Una cifra enorme!
E una volta in possesso della chiave?
Sarete alla mercé di chiunque ne sia in possesso. Sarà sufficiente inviarvi un particolare SMS per fare del vostro telefono ciò che vogliono: intercettare una chiamata, acquistare attraverso sistemi di pagamento mobili addebitandovi l’importo, inserire numeri a tariffazione elevata al posto dei numeri nei nostri contatti e altro ancora
“Possiamo installare da remoto del software su un dispositivo così che operi in modo indipendente sul vostro telefono. Possiamo spiarvi. Conosciamo le vostre chiavi di codifica per le chiamate, possiamo leggere i vostri SMS. E otre a spiarvi possiamo rubare dati dalla scheda SIM, la vostra identità mobile e far pervenire addebiti sul vostro account”
Una situazione drammatica, e infatti ancora nessun gestore ha avuto il coraggio di rilasciare dichiarazioni in merito.
Nohl ha dichiarato che presenterà il risultato dei suoi studi ala alla Black Hat Conference di Las Vegas, uno dei più importanti raduni mondiali di esperti di sicurezza, ma senza rilevare eccessivi dettagli che aumenterebbero il rischio di attacchi.
La GSM Association non ha voluto commentare la portata del problema, ma ha già avvertito gli operatori in modo che possano porre rimediare al problema. Nohl ha consigliato alle aziende coinvolte di usare una migliore tecnologia di filtro per bloccare questo tipo di messaggi e anche di togliere dal mercato le schede SIM con codifica DES.
Nel frattempo che possiamo fare?
Semplice, se avete una SIM più vecchia di tre anni chiedetene la sostituzione al vostro operatore, e condividete questo post in modo che tutti sappiano e si tutelino 😉