Da poco sono stati esaminati in una recensione telefoni cellulari entry-level in vendita al dettaglio per circa $10-$20, facendo particolare attenzione alla loro sicurezza. Comunemente chiamati “cellulari con tasti” o “cellulari per anziani”, e spesso acquistati per parenti più in là con l’età che non vogliono o non possono abituarsi agli smartphone, questi telefoni possono anche essere ricambi per il “non si sa mai”. Alcune persone credono anche che siano più sicuri degli smartphone basati su Android.
Bene, il recensore ha confutato quest’ultima parte. Ha scoperto funzioni nascoste in quattro dei cinque telefoni: due trasmettono dati alla prima accensione (facendo trapelare le informazioni personali del nuovo proprietario), e gli altri due non solo perdono dati privati, ma possono anche abbonare l’utente a contenuti a pagamento comunicando segretamente su Internet con un server di comando.
Cellulari per anziani infetti
L’autore dello studio offre informazioni sui metodi utilizzati per analizzare il firmware di questi semplici dispositivi, i cui tecnicismi possono essere interessanti per coloro che vogliono ripetere la stessa analisi. In ogni caso, andiamo subito ai risultati.
Dei cinque telefoni, due inviano i dati dell’utente la prima volta che vengono accesi. Tuttavia, non è chiaro a chi vanno i dati, se il produttore, distributore, sviluppatore di firmware, o magari qualcun altro e, nemmeno, come i dati possano essere utilizzati. Si potrebbe supporre che tali dati potrebbero essere utili per monitorare le vendite o controllare la distribuzione di lotti di prodotti in diversi paesi. Per essere chiari, non sembra molto pericoloso; e dopo tutto, ogni smartphone trasmette alcuni dati di telemetria.
Ricordate, però, che tutti i principali produttori di smartphone cercano almeno di rendere anonimi i dati che raccolgono, e la loro destinazione è di solito più o meno chiara. In questo caso, invece, non si sa nulla di chi sta raccogliendo le informazioni sensibili dei proprietari senza il loro consenso. Per esempio, uno dei telefoni trasmette non solo il suo numero di serie, il paese di attivazione, le informazioni sul firmware e la lingua, ma anche l’identificatore della stazione base, utile per stabilire la posizione approssimativa dell’utente.
Inoltre, il server che raccoglie i dati non ha alcun tipo di protezione, quindi le informazioni sono fondamentalmente a portata di mano. Un’altra sottigliezza: la trasmissione avviene su Internet. Per essere chiari, un utente di questi telefoni potrebbe anche non essere consapevole che il dispositivo può andare online. Quindi, a parte tutto, le azioni segrete possono comportare delle spese di traffico mobile a sorpresa.
Un altro telefono del gruppo di verifica, oltre a far trapelare i dati dell’utente, è stato programmato per rubare denaro al suo proprietario. Secondo l’analisi del firmware, il telefono contattava il server di comando su Internet ed eseguiva le sue istruzioni, compreso l’invio di messaggi SMS nascosti a numeri a pagamento.
Il modello di telefono successivo aveva funzionalità dannose ancora più avanzate. Secondo un utente reale del telefono, un perfetto sconosciuto ha usato il numero di telefono per iscriversi a Telegram. Come può essere successo? Iscriversi a quasi tutte le app di messaggistica significa fornire un numero di telefono al quale viene inviato un codice di conferma via SMS. Sembra però che il telefono possa intercettare questo messaggio e inoltrare il codice di conferma a un server C&C, il tutto nascondendo l’attività al proprietario. Mentre gli esempi precedenti comportavano poco più di una spesa imprevista, questo scenario minaccia veri e propri problemi legali, ad esempio, se l’account viene utilizzato per attività criminali.
Cosa dovremmo fare ora che sappiamo che questi telefoni non sono sicuri?
La differenza tra i moderni telefoni di fascia bassa e le loro controparti di 10 anni fa è che ora, anche i circuiti più economici possono includere l’accesso a Internet. Anche con un dispositivo altrimenti pulito, questo può rivelarsi una scoperta spiacevole: un telefono scelto appositamente per la sua incapacità di connettersi a Internet va comunque online.
In precedenza, lo stesso ricercatore ha analizzato un altro telefono con i tasti. Anche se non ha trovato alcuna funzionalità dannosa, il dispositivo aveva un menu di abbonamenti a pagamento per oroscopi e giochi demo. L’utente poteva sbloccare le versioni complete, e pagare, con un SMS. In altre parole, il vostro parente anziano o vostro figlio potrebbe premere il pulsante sbagliato su un telefono acquistato appositamente per la sua mancanza di Internet e di applicazioni e finire per pagare per l’errore.
Ciò che rende importante questa storia dei cellulari “infetti” è che spesso è il produttore o un rivenditore in Cina ad aggiungere le “caratteristiche extra”, quindi i distributori locali potrebbero anche non essere a conoscenza del problema. Un altro fattore di complicazione è che i telefoni con i tasti vengono in piccoli lotti in una moltitudine di modelli diversi, ed è difficile distinguere un telefono normale da uno compromesso, a meno che non si possa indagare a fondo sul firmware. Chiaramente, non tutti i distributori possono permettersi un adeguato controllo.
Potrebbe essere più facile comprare semplicemente uno smartphone. Naturalmente, questo dipende dal budget, e sfortunatamente, gli smartphone più economici possono avere simili problemi di malware. Ma se potete permettervene uno, anche uno molto semplice, di un grande produttore, potrebbe rivelarsi una scelta più sicura, soprattutto se la ragione per cui scegliete un dispositivo diverso è che state cercando qualcosa di semplice, affidabile e privo di funzioni nascoste. È possibile mitigare i rischi di Android con un app antivirus affidabile e i telefoni con i tasti non offrono tale controllo.
Per quanto riguarda i parenti anziani, se sono abituati a rispondere alle chiamate aprendo il loro telefono, adattarsi a un touch screen potrebbe rivelarsi quasi impossibile, ma secondo noi vale la pena provare. Molte persone anziane sono passate agli smartphone abbastanza facilmente e ora possono sperimentare felicemente il vasto mondo dell’informatica mobile.