QR code per la pagina originale

AT&T: a rischio la privacy degli utenti iPad

,

Un grave e inaspettato problema di sicurezza ha colpito Apple e il colosso delle telecomunicazioni statunitensi AT&T. Con un meccanismo molto semplice basato sulla forza bruta, fino a poco tempo fa un malintenzionato poteva ottenere infatti indirizzi mail e ID degli iPad di migliaia di utenti, tra cui nomi davvero grossi.

Il gruppo alla base della scoperta si fa chiamare Goatse Security, e attraverso un semplice script è riuscito a ottenere qualcosa come 114.000 indirizzi mail e relativi ICC-ID, o “integrated circuit card identifier”, cioè il numero usato dai gestori per identificare ogni SIM e abilitarla ai servizi. E in loro aiuto sono venuti gli utenti stessi, postando centinaia di foto sul Web in cui espongono con eccessiva leggerezza i dati delle proprie SIM (ecco un esempio su Flickr). Con queste poche informazioni, e inviando una richiesta opportunamente confezionata ai server AT&T liberamente accessibili su Internet, ogni volta che si indovinava un seriale realmente esistente, si otteneva in risposta tutti i dati relativi a quell’utente.

E come sottolinea Gawker, tra i nomi carpiti figurano alte cariche del DARPA, dell’esercito statunitense, della Casa Bianca, della NASA, nonché illustri dirigenti del mondo dell’informazione e dell’intrattenimento, come il New York Times Company, Dow Jones, Condé Nast, Viacom, Time Warner, News Corporation, HBO e Hearst. Insomma, un bel pastrocchio.

La prima reazione è stata piuttosto aspra, e in molte società ed enti governativi è partita la richiesta di disattivazione del traffico dati 3G sui dispositivi, almeno in attesa di novità a riguardo. AT&T dal canto suo ha bloccato subito tale funzionalità, ma il danno è ormai fatto e ci vorrà parecchio per combattere la paura da iPad.

E Amoroso, portavoce del carrier, getta acqua sul fuoco:

Quando firmi un contratto di navigazione 3G per iPad, At&T controlla il numero seriale della SIM che “non è affatto segreto; è come il numero seriale della lavastoviglie”, e richiede un indirizzo mail cui inviare le comunicazioni.

Tutto vero, a parte il fatto che dalla lavastoviglie non si può ottenere poi il numero di telefono del possessore o altre informazioni di carattere strettamente personale. La falla comunque ora è stata chiusa e gli utenti statunitensi possono finalmente dormire sonni tranquilli; dopotutto, l’automatismo voleva solo essere una piccola comodità per evitare di dover digitare ogni volta e completamente le proprie credenziali. A volte, però, la strada più breve non è necessariamente la migliore.

Notizie su: