Non molto tempo fa, un team di esperti in sicurezza informatica, analizzando il protocollo LTE ha individuato alcune falle che, se sfruttate, comprometterebbero la sicurezza degli utenti.
A dire il vero, queste vulnerabilità si aggiungono a quelle già individuate lo scorso anno da un altro gruppo di ricercatori, molto più pericolose, perché avrebbero consentito ai criminali informatici di intercettare i messaggi, inviare SMS per conto della persona vittima dell’attacco, falsificare la posizione di un dispositivo e forzare la disconnessione dalla rete 4G LTE.
In questo caso, invece, le vulnerabilità permetterebbero di realizzare tre tipologie di attacchi che agiscono a livello di collegamento dati. Nello specifico, si tratterebbe di due attacchi passivi ed un attacco attivo. Quest’ultimo è il più pericoloso.
Gli attacchi passivi permetterebbero di realizzare la mappatura dell’identità e di rilevare le meta-informazioni sul canale radio, operazione definita di Website Fingerprint. In questo modo, il criminale informatico riuscirebbe ad avere accesso alla cronologia delle ricerche Internet dell’utente, o meglio ai siti Web visitati
.L’attacco attivo è invece denominato aLTEr, e grazie ad esso un malintenzionato sarebbe in grado di reindirizzare le connessioni di rete attraverso lo spoofing dei DNS, proprio a causa di una falla intrinseca nello standard LTE. Gli esperti hanno comunque chiarito che sarebbe un attacco molto difficile da realizzare e che richiede grandi competenze e conoscenze informatiche, pertanto non alla portata di tutti.
Dall’altra parte, l’utente potrebbe difendersi da un attacco del genere solamente consultando siti web che utilizzano HTTP Strict Transport Security, evitando dunque le pagine HTTPS, mentre spetterebbe agli operatori telefonici utilizzare protocolli di autenticazione di tipo AES-GCM o ChaChat20-Poly 1305. Un cambio molto costoso, sia dal punto di vista finanziario che organizzativo. Per tale motivo, non sappiamo se gli operatori telefonici hanno deciso di risolvere il problema, dal momento in cui non è neppure obbligatorio adottare questo standard.