Qualche giorno fa sul sito web della rivista inglese “the INQUIRER” è apparso un articolo che riportava con toni “giornalisticamente allarmistici”, una vulnerabilità legata, secondo gli autori, al protocollo SIP.
In pratica, da una serie di test condotti su uno specifico IP Phone basato su protocollo SIP, è stato possibile ricreare uno scenario nel quale il telefono chiamato veniva messo in comunicazione con il chiamante, senza la necessità di sollevare la cornetta.
In questo modo il telefono chiamato diventa una sorta di microfono tramite il quale “spiare” un ignaro interlocutore, in barba a tutti i diritti di salvaguardia della privacy!
La notizia, nella pratica, non assume connotati così allarmistici: infatti, il bug evidenziato dagli autori dell’articolo è imputabile ad un difetto del firmware del telefono specifico utilizzato nel test, non al protocollo SIP in quanto tale.
Questo standard de facto della tecnologia VoIP, come abbiamo già avuto modo di descrivere in questo blog, presenta sicuramente diverse vulnerabilità: ad esso però non possono essere imputate quelle derivanti da difetti implementativi dello stack in un IP Phone.
Questo il link in cui è possibile trovate una sintesi del test.
Ad ogni modo la casa produttrice del dispositivo (GrandStream) ha provveduto a correggere tempestivamente il difetto del firmware.
Spie dell’era internet o abili debbugger?