I ricercatori tedeschi hanno scoperto falle di sicurezza che potrebbero consentire ad hacker, spie e criminali di intercettare ed ascoltare telefonate private e messaggi di testo su scala potenzialmente mondiale – anche se le reti cellulari utilizzano la crittografia più avanzata oggi disponibile.
E’ quanto leggiamo in un nuovo rapporto del Washington Post.
I problemi, segnalati in una conferenza di hacker (Chaos Communication Congress) tenutasi ad Amburgo questo mese, sono l’ultima testimonianza di una vulnerabilità al protocollo SS7, la rete globale che consente ai vettori cellulari di tutto il mondo di instradare a vicenda le chiamate, i messaggi di testi e gli altri servizi.
Gli esperti dicono che il protocollo SS7 è vecchio, progettato nel 1980, ed è quindi pieno di gravi vulnerabilità che minacciano la privacy di miliardi di clienti nel mondo che usano un telefono cellulare.
I difetti scoperti dai ricercatori tedeschi sono stati individuati nelle funzioni integrate nel protocollo SS7, che hanno diversi scopi, come mantenere le chiamate connesse tra utenti che viaggiano a velocità elevate nelle autostrade, con il passaggio della chiamata continuo tra diverse celle.
Proprio in questo tipo di casi gli hacker possono intercettare le conversazioni, a causa della scarsa sicurezza sulla rete dovuta alla necessità di maggiore flessibilità per ovviare a problemi quotidiani.
Gli esperti dicono che, grazie ai bug in SS7, è possibile localizzare le chiamate in qualsiasi parte del mondo, ascoltare le chiamate che avvengono o registrare centinaia di chiamate cifrate e testi in un momento e decodificare il tutto successivamente. Vi è anche il potenziale di frodare gli utenti e gli operatori telefonici utilizzando le funzioni di SS7, dicono i ricercatori.
Queste vulnerabilità continuano ad esistere anche oggi in un momento in cui i vettori investono miliardi di dollari per l’aggiornamento delle tecnologie utilizzate per evitare che le comunicazioni vengano intercettate senza autorizzazione. Ma anche se i singoli vettori rafforzano i loro sistemi, ancora questi devono comunicare con quelli degli altri operatori attraverso la rete globale SS7. Ciò significa che un unico vettore in Congo o Kazakhstan, per esempio, potrebbe essere utilizzato per intercettare reti negli Stati Uniti, in Europa o altrove.
"E’ come a proteggere la porta d’ingresso della casa, ma la porta sul retro è aperta", ha detto Tobias Engel, uno dei ricercatori tedeschi.
Engel, fondatore di Sternraute, e Karsten Nohl, capo scienziato di Security Research Labs, hanno scoperto separatamente queste debolezze in SS7, dopo che il Washington Post ha scritto della diffusa commercializzazione di sistemi di sorveglianza che utilizzano le reti SS7 per localizzare le chiamate ovunque nel mondo. Il Post ha riferito che decine di nazioni avevano acquistato tali sistemi per monitorare gli obiettivi di sorveglianza e che gli hacker esperti o criminali potrebbe fare lo stesso con le funzioni integrate in SS7.
Come spiegato da Engel, "dopo le rivelazioni di Snowden sulla National security agency, nessuno può credere che sia possibile avere una conversazione davvero privata su rete mobile".