Vai al contenuto

Telefonia mobile

Basta uno squillo per localizzare chiunque? Chiedo aiuto tecnico per una verifica

Mi è stato segnalato questo articolo su Mastdatabase.co.uk che, se confermato, rivelerebbe la presenza di un errore di configurazione di un operatore cellulare che renderebbe possibile a qualunque persona localizzare qualunque altro utente semplicemente facendogli squillare il telefono.

In sintesi, secondo l’articolo, se si è utenti della rete cellulare britannica O2 e la si usa per chiamare un altro utente della stessa rete facendo una chiamata VoLTE (Voice over LTE), i dati che si ricevono includono anche l’identificativo della cella di rete sotto la quale si trova il chiamato. Questo permette di localizzarlo con notevole precisione.

Chiedo aiuto per verificare a) se quello che viene affermato è vero b) qualora sia vero, se vale anche per altri operatori di altri paesi.

In pratica, l‘articolo suggerisce di usare l’app Network Signal Guru (manuale) su un telefono Android rootato e di chiamare un altro utente facendo una cosiddetta chiamata VoLTE, un servizio che è attivo per default sulla maggior parte dei cellulari recenti (info Swisscom; info Fastweb).

L‘app, durante la chiamata, dovrebbe visualizzare i dati diagnostici della rete cellulare. Secondo l’articolo, sulla rete O2 questi dati diagnostici includono l’IMEI e l’IMSI del chiamante e anche quelli del chiamato, ma soprattutto includono l’header Cellular-Network-Info, che fornisce il tipo di cella usato dal chiamato, il suo Location Area Code e il suo Cell ID.

Immettendo questi dati in uno strumento online come Cellmapper.net si ottiene l’indicazione su una mappa della macrocella della rete cellulare che è stata usata dal chiamato durante la telefonata. In altre parole, si può sapere in che città si trova una persona semplicemente chiamandola. Nelle città dotate di microcelle, si può localizzare una persona con estrema precisione. Questa situazione avviene anche se il chiamato è in roaming all’estero ed è un errore di configurazione dell’operatore; non c’è nulla che l’utente possa fare.

Qualcuno riesce a confermare/smentire? Ho installato Network Signal Guru su un mio cellulare (non rootato) e ho provato a chiamare un altro mio cellulare, ma nei log correttamente generati dall’app non ho trovato informazioni come quelle descritte nell’articolo. In compenso ho trovato informazioni di localizzazione e velocità stupendamente dettagliate.

Screenshot dei dati presentati da Cellmapper.net per una zona a caso di Lugano (non è dove abito io e non mi trovo lì).

Ehi Samsung, puoi piantarla di mettermi scocciature IA inutili? Grazie

Salve, Samsung. So che magari non sono il vostro cliente quadratico medio, ma vorrei dirvi pubblicamente che se ho voglia di informarmi, sono perfettamente capace di farlo da solo, grazie; non mi piace essere trattato come un deficiente la cui vita è così vuota da dover essere allietata da una petulante “intelligenza” artificiale, e l’ultima cosa che voglio mentre sto lavorando, dormendo o facendo qualunque altra cosa della mia giornata è essere interrotto da una notifica che ha un bisogno incontenibile di farmi sapere “notizie” di cui non me ne frega assolutamente nulla.

Ho approfittato di un’offerta del mio operatore cellulare (Salt.ch) per acquistare un Samsung Galaxy S25 che userò principalmente come telefono di backup, come autenticatore di riserva e come “saponetta” 5G per avere una connessione a Internet di riserva.

Questo telefono, come tanti altri ultimamente, è infarcito di applicazioni basate sull’intelligenza artificiale che sono fondamentalmente inutili e irritanti. Una di queste è la “Now Brief”, il cui scopo sembra essere quello di informarmi sulle condizioni meteo locali e altre cose del genere di cui assolutamente non sento il bisogno. È attiva per default.

Per disattivarla, si va in Impostazioni – Schermata di blocco e AOD – Now bar – Now brief e si disattiva. Lo segnalo qui così magari altri che hanno la mia stessa esigenza trovano le istruzioni per soddisfarla.

Ecco, così va meglio, grazie.

Fonte: Sammyfans.

Test: Siete utenti prepagati di Vodafone Italia? Occhio ai dati memorizzati della carta di credito

Posso chiedervi un piccolo test? Se siete utenti prepagati di Vodafone Italia e avete a disposizione una persona di cui vi fidate, chiedetele di eseguire questi passi:

1. Andare con il suo smartphone (anche se non è utente Vodafone) a ricarica1click.vodafone.it.

2. Nella schermata che compare, immettere il vostro numero di telefonino (due volte).

3. Lasciare pure l’importo di default per la ricarica (tanto non verrà fatta).

4. Scegliere Carta come se volesse pagare con la carta di credito.

5. Sul telefono del vostro conoscente dovrebbero comparire le ultime quattro cifre della vostra carta di credito, se ne avete memorizzata una nel sito di Vodafone, e anche la sua data di scadenza

6. Toccare la casella di spunta Inviami la ricevuta via mail.

7. Dovrebbe comparire l’indirizzo di mail che avete associato al vostro numero.

Vi risulta che funzioni? Io ho eseguito questi passi su un telefonino non-Vodafone, immettendo un numero fornitomi da Andrea Barisani di With Secure, che ha segnalato pubblicamente il problema su Mastodon oggi, e ha funzionato.

In altre parole: se vi siete fidati delle promesse di Vodafone (“I tuoi dati personali sono protetti e gestiti nel rispetto dei più elevati standard di sicurezza”) e avete memorizzato una carta di credito nel vostro account Vodafone (cosa che, nota Andrea, si fa in sessione autenticata), chiunque conosca il vostro numero di telefonino (o immetta numeri a caso) può scoprire questi dati e abusarne.

Un malintenzionato potrebbe, per esempio, mandarvi una mail spacciandosi per il servizio di sicurezza di Vodafone o della vostra banca, sembrando molto credibile perché conosce gli ultimi quattro numeri della vostra carta (quelli usati spesso per autenticarsi) e la sua data di scadenza e vi scrive proprio sulla mail che usate per ricaricare il vostro telefono.

Inoltre se l’indirizzo di mail include il nome e cognome, è facilissimo risalire all’identità della vittima. Uno scraping di massa, fatto tentando progressivamente tutti i numeri di telefono, permetterebbe di conoscere i numeri di telefono di un numero elevatissimo di persone.

2024/11/19. Dai commenti e dalle mail che ho ricevuto arrivano conferme della situazione. Emerge inoltre che chiunque può eliminare i dati memorizzati, e che il problema è stato già segnalato tempo fa (link su X; link su X) ma Vodafone non sembra volerlo considerare serio.

Ho provato a telefonare al servizio clienti Vodafone, ma la coda di attesa è interminabile. Sul sito di Vodafone non trovo informazioni di contatto per la stampa (la pagina dei Contatti ha solo numeri di telefono per il servizio clienti, che ho già provato inutilmente). Nella pagina del servizio di ricarica online ho trovato un indirizzo di mail del DPO (responsabile della protezione dei dati personali), info punto privacy chiocciola mail.vodafone.it, e l’ho contattato segnalando il problema e chiedendo una presa di posizione pubblicabile; sono in attesa di risposta. Un lettore mi ha scritto dicendomi che ci ha già provato a dicembre 2023 e ha ottenuto una risposta che in sintesi liquida la questione come un non problema.

Andrea Barisani nota che Vodafone impone di passare attraverso un complicato programma di bug bounty per segnalare formalmente una vulnerabilità, oltretutto con dei vincoli di comunicazione che sono poco compatibili con la trasparenza necessaria in casi come questi. Sempre Barisani mi segnala che con alcuni enti di credito, se si effettua il pagamento della ricarica si viene rediretti al pagamento con la carta effettiva (anche se il CVV non è quello giusto), e questo comporta ulteriori disseminazioni di dati personali.