Chi usa il cellulare per navigare in Rete probabilmente avrà avuto la necessità
almeno una volta di configurarne le impostazioni di connessione a Internet.
Un'operazione che un tempo richiedeva non pochi fastidi e andava fatta
manualmente, ma che adesso viene gestita in automatico dai vari operatori di
telefonia mobile tramite l'invio di un SMS autoconfigurante.
In passato abbiamo discusso più volte del problema delle vulnerabilità che un cellulare
può nascondere a chi fruisce di servizi di mobile banking, e l'attenzione si è incentrata prevalentemente sui rischi connessi all'utilizzo
del Bluetooth o alla ricezione di SMS o MMS malevoli da parte di
sconosciuti. Che anche gli SMS inviati dal nostro operatore di telefonia mobile potessero rappresentare un
pericolo per la sicurezza dei nostri dati, era tuttavia uno scenario ancora
difficile da immaginare, ma che da qualche tempo è diventato tutt'altro
che irrealizzabile.
Lo scorso aprile nel corso dell'ultima Black Hat Security
Conference (uno tra i più importanti eventi mondiali dedicati alla
sicurezza informatica), tre esperti italiani: Cristofaro Mune, Roberto
Gassirà e Roberto Piccirillo hanno dimostrato come l'invio di un SMS
autoconfigurante da parte di un operatore di telefonia mobile possa in realtà
essere sfruttato da un malintenzionato per intercettare i nostri dati di
navigazione.
In sostanza la tecnica “malevola” consisterebbe nell'invio alla vittima di un
SMS modificato ad arte, proveniente in apparenza dal proprio operatore di
telefonia mobile ma spedito in realtà da un
malintenzionato.
A messaggio ricevuto e a salvataggio delle impostazioni avvenuto (inserendo un
codice PIN di conferma), il cellulare della vittima memorizzerebbe la
configurazione “malevola” nella quale all'indirizzo IP originario del DNS
fornito dall'operatore si sostituirebbe quello voluto dall'hacker di
turno che farebbe da “ponte” con il primo.
Ciò, senza volutamente entrare nel tecnicismo, permetterebbe un “dirottamento”
del traffico indirizzato al DNS dell'operatore verso il “ponte” realizzato dal
malintenzionato, con la conseguenza che tutti i dati inviati dalla vittima e
scambiati in rete verrebbero intercettati e monitorati dal
terzo. Quest'ultima attività sarebbe stata dimostrata proprio dai tre
esperti italiani con l'ausilio di un applicativo da loro realizzato, che
permetterebbe la visualizzazione in tempo reale su un pc a parte dei
siti visitati dal proprietario del telefonino tramite il dispositivo.
Si tratta indubbiamente di una tecnica particolarmente “letale”
per la sicurezza della vittima e di cui -a oltre un mese- dalla rivelazione si continua a parlare in Rete.
Sebbene la sua efficacia abbia delle limitazioni, l'attenzione da parte dei
maggiori esperti mondiali di sicurezza informatica è rivolta alla facilità con
cui chi usa il telefonino per il mobile banking o per fare acquisti on
line potrebbe subire un furto d'identità, e vedere le proprie
credenziali di autenticazione o altri dati personali acquisiti illecitamente da
terzi.
L'uso malevolo di SMS autoconfiguranti, infatti, non solo sarebbe alla portata
degli hackers più inesperti, ma potrebbe rendere vano anche
l'utilizzo sul telefonino di un eventuale software (antivirus o firewall che
sia) finalizzato a garantire la sicurezza del dispositivo.
Nel filmato a seguire è possibile visionare la dimostrazione pratica della
tecnica in esame con un SMS autoconfigurante di Vodafone Italia:
maggiori informazioni tecniche invece sono disponibili ai seguenti link:
Ultimi commenti
da enrico in PayPal meglio di Postepay? Le due prepagate a confronto....
I più letti
Affari pericolosi: asciugacapelli Philips, batteri...