Virus per cellulari: allarmismo o pericolo reale?

Un virus informatico può attaccare un telefono cellulare? “Sì”, rispondono le società produttrici di antivirus. “No”, replicano i produttori dei terminali, che assicurano di aver fatto di tutto per impedire questa eventualità. Aver fatto di tutto – pensano i pirati informatici – potrebbe, comunque, non essere abbastanza. E se si calcola che ormai il 60% della popolazione possiede un telefonino, che in alcuni casi si collega anche a un computer palmare (Pda), non c’è certo da stare tranquilli.

Il rischio, effettivamente, è reale. Ormai si scarica di tutto sul proprio cellulare: loghi, suonerie, messaggi animati; perché non un virus? E con l’arrivo dei primi servizi multimediali e della banda larga wireless i rischi sono destinati ad aumentare in modo considerevole.

Rischi reali

Nello scorso mese di gennaio un pirata informatico olandese – diventato ricercatore presso Information Technology Security Exsperts, una società olandese che si occupa di sicurezza informatica – era riuscito, a scopo dimostrativo, a bloccare una serie di telefonini Nokia con un semplice Sms. Su certi modelli, per poter riutilizzare il terminale, era necessario togliere la batteria e chiedere al proprio operatore la soppressione del messaggio.

Nel mese di marzo sono stati due pirati francesi a dare una nuova dimostrazione. Seguendo l’esempio di alcuni amici tedeschi, hanno messo online una pagina Web in grado di bombardare un telefonino di Sms. Un sistema molto semplice, ma anche molto efficace.

Malgrado i campanelli d’allarme, i costruttori di cellulari e gli operatori telefonici non sembrano particolarmente preoccupati. “Gli Sms – sostiene Thomas Picard, responsabile del settore software presso Alcatel – non possono contenere programmi eseguibili, sono in formato testo. E delle suonerie o dei loghi non possono in alcun modo trasportare dei virus. Potremmo avere dei problemi solo se non rispettiamo gli standard”.

Ma non tutti sono d’accordo

Secondo i produttori di antivirus le piattaforme Wap e Sms sono, invece, degli autentici colabrodo. “Lo sanno tutti – affermano i responsabili di Symantec – noi vendiamo antivirus, firewall e analizzatori del traffico agli operatori telefonici. Serviranno pure a qualcosa!” Gli analisti di Gartner sono ancora più radicali. “Questo genere di infrastrutture – sostiene John Pescatore, vice presidente della società – non riusciranno a garantire livelli accettabili di sicurezza prima del 2004. Le differenti piattaforme (Wap e Sms) saranno fino ad allora l’obiettivo privilegiato dei pirati perché possono essere attaccate da chiunque utilizzando Internet”.

Secondo i tecnici di F-Secure, una società finlandese specializzata nei sistemi di sicurezza per la telefonia mobile, “attualmente non si possono arrecare molti danni con il Wap e il Wml, ma la futura versione di Wml Script potrebbe consentire l’invio di Sms e l’aggiornamento del telefono a distanza. Una caratteristica che potrebbe rivelarsi una falla per l’intrusione di pirati informatici”.

Ma anche di fronte a questi altri segnali d’allarme costruttori e operatori non fanno una piega affermando di aver già previsto tutto. La gestione della carta Sim a distanza sarà fatta tramite un programma protetto, denominato Sim Toolkit, che esegue le varie operazioni: modifica delle opzioni di chiamata, regolazione dei parametri Wap, aggiornamento della rubrica. E i server che gestiscono queste operazioni sono, sempre secondo gli operatori, inattaccabili. Anche se, viene fatto osservare, nessuno di loro può certificare al 100% che queste piattaforme, quasi sempre concepite da fornitori esterni, non abbiano delle porte nascoste, delle falle.

In ogni caso, con i telefonini e le piattaforme attuali, gli attacchi possibili sono effettivamente di portata limitata. Non sarà più così con l’entrata in commercio di cellulari con la Virtual Machine Java 2 Micro Edition (J2ME) imbarcata, che gli consentirà di memorizzare e di eseguire anche applicazioni di terzi. Ma anche in questo caso i produttori gettano acqua sul fuoco. “J2ME – dicono – è un sottoinsieme di Java e quindi ne eredita tutte le caratteristiche nel campo della sicurezza”.

Tanta tranquillità viene anche dalla filosofia con la quale la tecnologia Java è stata incorporata nei telefonini. Come spiegano alla Alcatel, J2ME è separata in modo netto dal telefonino in quanto tale. Sarà quindi, forse, possibile bloccare Java e le funzioni collegate, ma il cellulare continuerà a funzionare.

Non tutti, però, ostentano tutta questa sicurezza. Markus Schmall, specialista della sicurezza presso T-Mobile, che sta preparando una conferenza sulla sicurezza dei telefonini J2ME, la pensa diversamente. “L’adozione di questa piattaforma – dice – pone molti problemi di sicurezza. Gli attacchi da parte dei pirati informatrici sono possibili, così come è possibile scrivere del codice aggressivo. Io stesso ho fatto una dimostrazione pratica. Per dormire sonni tranquilli non c’è che una soluzione: certificare le applicazioni per garantirne l’origine”.

Conclusione

Anche se attualmente non esistono dei virus per telefoni cellulari, è meglio non abbassare la guardia. Anche perché, come è già stato dimostrato più volte in passato, la tecnologia si arrende sempre di fronte al fattore umano. Ricordiamoci che l’ingenuità degli utenti è all’origine della diffusione della maggioranza dei virus per Pc (I Love You, Kournikova, Naked Wife, ecc.). Una debolezza che potrebbe aprire molte porte anche sui telefoni cellulari.