Mondo
Non c’è un giorno di requie per la nostra privacy e la notizia diffusa dal New York Times getta nuova inquietudine in un mondo in cui ormai nessuno sembra possa fare a meno dei dispositivi digitali: chi credeva bastasse non essere su Facebook per non essere a rischio di intromissioni nella vita privata sarà deluso. Stando infatti alle scoperte di Karsten Nohl, fondatore della società tedesca Security Research Labs, sarebbero infatti almeno 750 milioni le Sim card vulnerabili per via di una falla nello standard di crittografia Des (Data Encryption Standard) che permetterebbe di prendere il controllo in remoto del telefonino per gli scopi malevoli più vari.
Le schede SIM presenti nei nostri cellulari sono essenzialmente dei mini-computer con un proprio sistema operativo e un software pre-installato. La sicurezza delle comunicazioni è garantita da appositi standard, tra cui, appunto, il DES (Digital Encryption Standard) sviluppato da IBM negli anni ’70.
Il DES non è più usato da molti operatori, che nel tempo hanno adottato lo standard ‘triple-DES’ o l’AES (dvanced Encryption Standard), ma è ancora presente in circa 3 miliardi di sim di schede telefoniche.
“Datemi un numero di telefono e c’è la concreta possibilità che in pochi minuti riesca a controllare la sim da remoto e anche ad ottenerne una copia”, ha affermato Nohl.
Ma come? Il ricercatore ha scoperto che inviando un sms ‘nascosto’ è stato possibile ottenere una risposta automatica dal 25% delle Sim con standard DES, le quali hanno rivelato la chiave a 56-bit. Con quella chiave, quindi, è stato possibile inviare un virus al cellulare, con un altro sms. Il virus ha permesso a Nohl di intercettare i messaggi e anche di effettuare pagamenti.
Nohl, che presenterà i risultati della sua ricerca in occasione dell’evento “Black Hat” in programma a Las Vegas dal 27 luglio al primo agosto – ha ‘testato’ circa un migliaio di schede sim tra Usa ed Europa.
Della falla è stata comunque avvertita la GSMA che ha a sua volta avvisato i produttori e le compagnie telefoniche, che stanno valutando la situazione e approntando una soluzione per risolvere il problema.
“Non c’è motivo di ritenere che le SIM più recenti, che usano nuovi standard di sicurezza e supportano una serie di servizi avanzati, siano vulnerabili allo stesso modo”, ha spiegato un portavoce dell’associazione.
