Sim card vulnerabili per gli hacker: 750 milioni di cellulari a rischio

L'allarme, e ci sono probabilmente tutti i presupposti per definirlo tale, è stato lanciato anche dal New York Times, oltre che da diversi siti e blog tecnologici. Tutto nasce dalla scoperta effettuata da un noto esperto di sicurezza, Karsten Nohl, fondatore dei Security Research Labs di Berlino, cui va il merito di aver rilevato una vulnerabilità interna alle Sim telefoniche che potrebbe interessare circa 750 milioni di cellulari in tutto il mondo.

La falla, presente sin dalla nascita sulle carte che sfruttano uno stardard di crittografia, il Des (Data Encryption Standard), oggi non più utilizzato da molti operatori perchè superato sotto il profilo delle capacità di protezione garantite, potrebbe consentire agli hacker di prendere il controllo totale dell'apparecchio attraverso una chiave digitale con sequenza a 56 cifre. Senza che l'utente, di fatto, se ne accorga.

Telefonate, Sms e mail spiate da remoto tramite un software maligno
Attraverso la falla, questo il rischio messo in evidenza dal ricercatore tedesco, i cybercriminali potrebbero inviare un virus alla scheda telefonica tramite un semplice Sms "nascosto" e una volta preso il controllo del cellulare poter intercettare, da remoto e tramite il software maligno installato sul dispositivo, molte se non tutte le attività dell'utente: chiamate, messaggi, accesso e acquisto di app e comunicazioni e-mail. Arrivando, addirittura, ad avviare una telefonata o ad inviare un messaggio di testo fingendosi il proprietario del telefono colpito dall'attacco. A rischio, inoltre, ci sarebbero anche le operazioni di pagamento condotte direttamente con il telefono

A un hacker, questo l'ultimo inquietante dettaglio rivelato dallo studio di Nohl, che ha testato negli utlimi due anni la vulnerabilità in questione su oltre mille diverse Sim attualmente in circolazione in Nord America e in Europa, basterebbero solo pochi minuti per portare a termine con successo l'attacco.

Secondo l'esperto è fortunatamente improbabile che i cyber criminali abbiano già trovato il bug, per cui occorrerebbero almeno sei mesi di tentativi prima di identificarlo, un tempo sufficiente (questa la speranza) affinchè gli operatori possano intervenire con le opportune misure del caso.

Gli standard di crittografia
Per evitare possibili problemi, meglio quindi controllare nei limiti del possibile se la propria carta utilizza il vecchio standard – il Des fu sviluppato da Ibm negli anni '70 e si stima sia ancora in esercizio oggi giorno su circa tre miliardi di cellulari nel mondo - o se invece è protetta con la nuova tecnologia Aes (Advanced Encryption Standard). Quest'ultimo è un algoritmo di cifratura a blocchi derivato da quello creato nel 1998 da due ricercatori belgi, Joan Daemen e Vincent Rijmen, ed oggi adottato su larga scala dai principali carrier mobili.

Appuntamento a dicembre con la classifica delle Sim meno sicure
La scoperta, si legge infine sul New York Times come su altri siti, è già stata illustrata alla Gsma, l'Associazione che riunisce a livello mondiale produttori e operatori telco e che ha già provveduto a confermare in una nota di aver già trasferito ai propri membri una "guida pratica" su come intervenire per chiudere la falla. Nohl, da parte propria, presenterà pubblicamente i risultati della sua ricerca in occasione dell'evento "Black Hat" in programma a Las Vegas dal 27 luglio al primo agosto.

Sulle identità degli operatori le cui Sim sono potenzialmente a rischio, invece, il ricercatore ha fatto sapere di non rivelare alcun dettaglio rimandando però l'appuntamento con una lista comparativa inerente i livelli di sicurezza delle schede telefoniche dei vari carrier al "Chaos Communication Congress", in agenda a dicembre ad Amburgo, in Germania.

©RIPRODUZIONE RISERVATA