All'inizio di questa settimana, Karsten Nohl, un ricercatore di sicurezza presso Laboratori SR, ha rivelato la scoperta di un enorme buco nella crittografia delle carte SIM che potrebbe lasciare vulnerabili agli attacchi fino a 750 milioni dei 7 miliardi di dispositivi dotati di SIM card nel mondo. Non solo i soliti imbrogli di hacking: se la scheda SIM del tuo telefono è compromessa, è l'equivalente telefonico del furto di identità. Un intruso può causare molti danni.
Una carta SIM, o Subscriber Identity Module, dice al tuo operatore wireless chi sei e che ti puoi fidare. Gli hacker che sfruttano la tua SIM potrebbero accedere all'account del tuo operatore wireless, ad alcuni messaggi e contatti e alle informazioni di identificazione della tua rete. Utilizzando queste informazioni, potrebbero modificare l'account del tuo operatore, reindirizzare le tue telefonate, clonare il tuo numero di telefono su un altro telefono, rubare le tue credenziali di pagamento (comprese alcune app di pagamento NFC), modifica la segreteria telefonica, invia messaggi come te e ottieni la tua posizione esatta eseguendo il ping del tuo operatore, tra le altre cose. L'elenco degli atti ignobili possibili con l'accesso alla SIM è lungo e entrare nel tuo telefono è facile quasi quanto inviare un messaggio di testo.
Video consigliati
Gli utenti AT&T, Sprint, T-Mobile e Verizon sono al sicuro
Fortunatamente, potresti non doverti preoccupare. Nonostante i tanti resoconti vaghi e spaventosi in circolazione, se vivi negli Stati Uniti, la tua carta SIM (quella piccola carta che di solito si trova sotto la batteria del telefono) probabilmente non è a rischio di essere hackerata.
I rappresentanti di tutti e quattro i principali operatori wireless negli Stati Uniti – AT&T, Sprint, T-Mobile e Verizon – hanno confermato con Digital Trends di non utilizzare il vecchio DES a 56 bit (Standard di crittografia dei dati) SIM vulnerabili all'exploit di Nohl. Questo standard di invecchiamento del 1977 è ancora utilizzato in alcune aree del mondo ed è molto meno sicuro rispetto ai nuovi standard del 1998 come AES (Standard di crittografia avanzato) E Triplo DES. Ciò significa che la stragrande maggioranza degli abbonati negli Stati Uniti è al sicuro. La maggior parte degli operatori più piccoli come Virgin, Boost, Ting e altri si allontanano dalle principali reti di operatori, rendendoli al sicuro anche da questo exploit.
Se ti capita di possedere un telefono che ha quasi sette anni, comprane uno nuovo. Altrimenti sei al sicuro.
Sprint e Verizon, che non hanno utilizzato affatto le carte SIM finché non hanno iniziato a implementare reti 4G LTE ad alta velocità, ci hanno detto che “il 100%” delle loro carte SIM utilizza standard di crittografia più nuovi e più sicuri.
"Le carte SIM Verizon non sono vulnerabili a questo potenziale attacco a causa del modo in cui sono progettate e prodotte", ha affermato un rappresentante di Verizon. "Prendiamo molto sul serio la privacy e la sicurezza dei nostri clienti e continueremo a collaborare con i nostri fornitori di carte SIM, gruppi di settore e altri per prevenire e contrastare qualsiasi problema di sicurezza."
AT&T e T-Mobile hanno utilizzato in passato il vulnerabile standard DES, ma utilizzano Triple DES da molti anni. I rappresentanti di AT&T hanno affermato di non utilizzare lo standard hackerabile da “quasi un decennio”. T-Mobile non ha utilizzato per “almeno sette anni”. Se ti capita di possedere un telefono che ha quasi sette anni, comprane uno nuovo uno. Altrimenti sei al sicuro. I rappresentanti di T-Mobile hanno anche confermato con noi che anche gli abbonati Metro PCS sono sicuri.
Un altro motivo per non preoccuparsi
Ma cosa dovresti fare se non utilizzi uno dei grandi vettori statunitensi o un fornitore più piccolo che utilizza una delle loro reti? Dovresti essere preoccupato? Nohl dice che tutti dovrebbero mantenere la calma.
"Per il momento, non c'è motivo di preoccuparsi, poiché i criminali probabilmente impiegheranno mesi per reimplementare i risultati della ricerca", dice Nohl a Digital Trends. "Se, nel momento in cui lo fanno, le reti non hanno implementato le difese di rete o aggiornato le loro SIM da remoto, potrebbe essere il momento di chiedere una nuova SIM." Aggiunge, "Probabilmente mancano ancora mesi all'abuso" e che SR Labs ha condiviso i risultati "diversi mesi fa e ha avuto un dialogo molto costruttivo con i carry di sempre Da."
Il team di Nohl ha impiegato tre anni e ha testato più di 1.000 carte SIM per scoprire il bug. Nohl lo farà parlare più in dettaglio sulla vulnerabilità alla conferenza sulla sicurezza BlackHat del 1 agosto 2013.
Cosa fare se sei ancora preoccupato
Se non vivi negli Stati Uniti o non conosci lo stato del tuo operatore, la soluzione migliore è chiamare il tuo operatore di telefonia mobile e chiedere.
"Chiedere maggiori informazioni al fornitore di servizi è attualmente l'opzione migliore", ha affermato Roel Schouwenberg, ricercatore senior sulla sicurezza presso Kaspersky Lab. "Speriamo che si muovano rapidamente e forniscano presto maggiori informazioni sui loro siti web."
"Questa notizia dovrebbe servire da campanello d'allarme per tutti i fornitori di servizi che utilizzano ancora tecnologie obsolete", aggiunge Schouwenberg, “oltre a sottolineare l’importanza di promuovere nuovi sviluppi in materia di sicurezza quando possibile."
Schouwenberg sottolinea che non esiste una soluzione rapida per questo exploit della scheda SIM se ce l'hai. I telefoni interessati dalla vulnerabilità della scheda SIM (come i vecchi telefoni cellulari) non hanno accesso ad alcuna forma di software di sicurezza che possa aiutare a prevenire gli attacchi. Ma se sei negli Stati Uniti, probabilmente sei al sicuro. In caso contrario, hai qualche mese per passare a un operatore più aggiornato.
Aggiornato il 25/07/2013 da Jeffrey Van Camp: Possiamo confermare che anche Metro PCS utilizza Triple DES, quindi gli utenti di quel servizio, che ora è di proprietà di T-Mobile, sono al sicuro da questa vulnerabilità.
Articolo originariamente pubblicato il 24-7-2013.
Raccomandazioni degli editori
- La caratteristica più fastidiosa dell’iPhone 14 potrebbe essere peggiore su iPhone 15
- L'iPhone 14 ha una scheda SIM?
