Italia
Gli sms-spia, in grado di violare la riservatezza delle informazioni contenute sui cellulari di nuova generazione, non rappresentano un fenomeno preoccupante. Lo ha affermato il sottosegretario allo Sviluppo economico con delega alle Comunicazioni, Paolo Romani, intervenendo alla Camera per riferire sulla questione della pirateria informatica attraverso i messaggi sms dei telefoni cellulari.
A questa conclusione, ha spiegato Romani, si è giunti dopo un’accurata analisi di differenti scenari e prendendo in considerazione i diversi meccanismi teoricamente utilizzabili, tutti rivelatisi di non comprovata pericolosità.
Tre le opzioni di ‘condizionamento’ remoto considerate: tramite sms, tramite protocolli di rete e tramite le cosiddette tecniche di social engineering.
La prima tecnica di violazione sarebbe praticata attraverso l’utilizzo di speciali messaggi spia contenenti codici segreti alfanumerici. Questi codici, una volta trasmessi al telefono ‘target’ consentirebbero di assoggettare quest’ultimo al controllo del telefono ‘master’.
Una simile operazione non è del tutto impraticabile ma – ha sottolineato Romani – appare impossibile credere che una vulnerabilità così “grossolana e di portata tanto generalizzata” possa sfuggire allo stuolo di sviluppatori, analisti ed esperti di sicurezza informatica e diffondersi indisturbata.
Il condizionamento remoto tramite protocolli di rete permetterebbe invece di introdursi nei cellulari altrui attraverso l’utilizzo improprio di sms veicolati tramite il protocollo WAP sul canale radio di servizio OTA (Over the air), sfruttato dagli operatori per l’aggiornamento dell’indirizzo del punto di accesso alla rete dati, per l’invio di loghi e suonerie o per la personalizzazione di alcune applicazioni.
Esiste effettivamente la possibilità di inviare configurazioni diverse da quelle impostate dall’operatore di rete e dirottare così le comunicazioni verso punti prefissati della rete da cui poi effettuare le intercettazioni.
Un simile attacco, tuttavia, presuppone l’accettazione della nuova configurazione da parte di chi riceve il messaggio, mediante l’inserimento di un PIN.
Perché questo metodo di intrusione vada a buon fine, ha spiegato Romani, “è necessario però che si verifichino congiuntamente degli eventi, quali la disponibilità effettiva di un sms center da cui far partire l’attacco e la presenza di bassi livelli di sicurezza sul terminale target”.
La probabilità che questi eventi si verifichino contemporaneamente – ha aggiunto – è oggettivamente molto bassa e il numero di utenti eventualmente esposti a questi tipi di attacchi appare estremamente limitato”.
Anche nel caso, infine, di un condizionamento in remoto attraverso tecniche di social engineering – in cui la vittima inconsapevole viene indotta in maniera fraudolenta, via sms, mms, email o bluetooth a compiere particolare azioni che rendono efficace l’attacco – non basta la semplice trasmissione e ricezione del file: il destinatario deve comunque esprimere il proprio consenso all’installazione e all’attivazione del software.
In base anche alle conclusioni delle consultazioni informali svolte dall’Ufficio del Garante Privacy con i principali produttori di software di sicurezza, Romani si è detto quindi convinto che i fenomeni di violazione della riservatezza non abbiano né possano avere “nell’immediato futuro una grande diffusione, anche se occorrerà svolgere un monitoraggio continuo per seguire l’evoluzione delle tecnologie software impiegate”.