I Security Research Labs di Berlino hanno scoperto una grave vulnerabilità nella rete GSM che consente ad un hacker di effettuare telefonate o di inviare SMS utilizzando i cellulari di ignari utenti. Il bug di tipo software è presente nelle infrastrutture mobile di 32 operatori telefonici di 11 paesi, Italia inclusa.
La tecnologia GSM, nata circa 20 anni or sono ed utilizzata da miliardi di utenti in tutto il mondo, è molto vulnerabile alle intercettazioni. Karsten Nohl, esperto di sicurezza mobile e responsabile dei Security Research Labs, ha dichiarato che negli ultimi anni è cresciuta la percentuale di attacchi alla rete GSM dovuti alla maggiore diffusione dei dispositivi rispetto ai PC, finora il principale bersaglio degli hacker.
La GSMA, l’associazione che unisce gli operatori e varie aziende con l’obiettivo di promuovere il sistema di telefonia GSM, ritiene che la rete sia molto sicura e che la possibilità di un attacco sia molto remota. I maggiori rischi per la sicurezza provengono da malware di vario genere che consente di prendere il controllo del dispositivo, sfruttando bug del software, sistemi operativi o applicazioni. Nohl però ha scoperto un modo per sfruttare una nota vulnerabilità nella tecnologia GSM che permette di colpire migliaia di cellulari in poco tempo.
Per verificare la presenza del bug, Nohl ha utilizzato un cellulare Motorola di sette anni fa e un tool, disponibile gratuitamente su Internet, con il quale è riuscito a decifrare le chiavi utilizzate dagli operatori per stabilire una connessione tra la rete GSM (2G) e il telefono. Un hacker può facilmente intercettare le chiamate, tracciare la posizione dell’utente ed effettuare telefonate gratis. In molti casi, la sicurezza può essere aumentata semplicemente aggiornando il software. Le reti GSM che offrono la migliore protezione sono quelle della tedesca T-Mobile e della francese SFR.
Per ovvie ragioni, i ricercatori non hanno divulgato i dettagli della loro scoperta, ma gli hacker possono facilmente replicare il codice necessario in poche settimane per effettuare attacchi su scala mondiale.