Roma – Piove su TIM dopo che un’inchiesta de IlGiornale ripresa da IlNuovo ha messo in evidenza un potenziale buco di sicurezza nei servizi UNI.TIM. Buco che, però, parrebbe più grave di quanto sostenuto dalle due testate.
Il servizio UNI.TIM consente all’utente registrato sul sito dedicato di accedere ad una serie di servizi legati alla propria utenza di telefonia mobile. Il problema è che ai dati relativi alle telefonate, i tabulati, in certe condizioni può accedere non solo il legittimo utente ma anche un “aggressore” esperto.
Secondo quanto emerso su IlGiornale, l’iscrizione a questi servizi può avvenire anche senza che l’intestatario di un certo numero ne sia a conoscenza. Per farlo, viene spiegato, è però necessario “sottrarre” temporaneamente il cellulare al suo proprietario e da lì attivare il servizio, inviando un SMS al numero 9000 (il numero di UNI.TIM) e indicando la password di accesso che si intende utilizzare.
Naturalmente, il fatto di dover “rubare” per pochi secondi il cellulare della “vittima” rende ben complesso il lavoro di chi volesse poter accedere ai servizi UNI.TIM di un’altra persona. Quello che è emerso, però, è che il tutto potrebbe essere fatto anche senza bisogno di sottrarre il cellulare all’utente.
Poiché l’iscrizione ad UNI.TIM richiede esclusivamente l’invio di un SMS dal numero che si intende iscrivere, secondo alcuni smanettoni con cui Punto Informatico ha parlato ieri, per accedere è sufficiente inviare un “falso-SMS”. Un messaggino, cioè, realizzato con uno dei programmi che si trovano in rete e che consente di inviare SMS falsificando il mittente, che verrebbe così riconosciuto come “legittimo” dal sistemone.
Una volta iscritto un utente a sua insaputa, all’indirizzo https://www.uni.tim.it/traffico/ è possibile procedere al monitoraggio del traffico telefonico del “malcapitato” anche senza aver accesso fisico al suo cellulare.
Ieri Punto Informatico ha interpellato l’ufficio stampa TIM, che ha negato che sia possibile ricorrere, per l’iscrizione, a sistemi alternativi all’uso del cellulare da parte dell’utente legittimo.
Secondo TIM, infatti, il sistema riconosce l’ SMS solo se proveniente dal cellulare “legittimo”, cioè dalla card TIM che si trova collocata nell’apparecchio e abilitata da un numero PIN personalizzato. Dunque, sostiene TIM, solo chi sottraesse fisicamente il cellulare di qualcuno avrebbe la possibilità di accedere ai servizi relativi a quell’utente. “E parliamo – sottolinea TIM – di un reato”.
Non solo, secondo l’operatore telefonico, che ha evidenziato come il servizio sia “perfettamente in linea” con le norme e le decisioni sulla privacy, qualora (“ma è fantascienza”) si arrivasse all’interno del servizio, tutto quello che si vedrebbero sarebbero i listati dei numeri chiamati senza le ultime tre cifre del numero stesso che sono “cifrate” con una x.
TIM ha anche spiegato che nessun problema di privacy è mai stato segnalato e che, fino ad oggi, sono centinaia di migliaia “gli utenti soddisfatti” dei servizi UNI.TIM.
Ti potrebbe interessare
16 mar 2001