SIM card, l'hack è possibile e 750 milioni di utenti sono a rischio

Se ormai da tempo sappiamo che gli smartphone sono a costante rischio virus, malware e forme di controllo da parte delle autorità, nessuno avrebbe mai pensato che anche la scheda SIM potesse correre qualche pericolo di questo genere.

A seguito di tre anni di ricerca, il crittografo tedesco Karsten Nohl sostiene di aver finalmente scoperto la crittografia e possibili falle del software che potrebbero rendere vulnerabili milioni di schede SIM, a rischio sorveglianza e frode.

I pericoli derivanti della falla


Nohl, che presenterà i suoi risultati alla conferenza sulla sicurezza Black Hat di Las Vegas il 31 luglio, dice che il suo è il primo hack di questo genere ed è stato studiato su 1.000 schede SIM. La vulnerabilità si ottiene semplicemente inviando un SMS nascosto: è sufficiente lavorare su un vecchio standard di sicurezza e un codice mal configurato delle comuni schede SIM per consentire agli hacker di infettare da remoto la scheda con un virus. Il virus è poi in grado di gonfiare la bolletta telefonica inviando sms, reindirizzando chiamate e permettendo di intercettare i dati dell'utente in caso di pagamenti con il telefono - un problema molto grave soprattutto in alcuni Paesi come l'Africa. Il pagamento NFC, già lento a decollare ma divenuto standard sui nuovi smartphone di fascia alta, potrebbe costituire un ulteriore rischio. Pericolo ben peggiore, secondo Nohl, se gli operatori telefonici ne approfittassero per monitorare e mettere mano alla bolletta di ciascun utente.

L'origine della falla


A monte di tutto questo problema vi sarebbe uno standard di crittografia delle SIM troppo vecchio. Secondo Nohl molte SIM vengono già distribuite con alcuni bug: secondo lo studio quelle a pericolo sarebbero poco meno di un quarto di tutte le schede SIM testate, ma dato che gli standard di crittografia variano ampiamente Paese e Paese, si stima che un ottavo delle schede SIM di tutto il mondo potrebbe essere vulnerabile pari a circa mezzo miliardo di cellulari. Nohl ritiene improbabile che i cyber criminali abbiano già trovato il bug: ci vogliono almeno sei mesi di crack prima di riuscirvi e - si spera - entro allora gli operatori telefonici avranno già risolto in qualche modo.

Via Forbes

  • shares
  • Mail