C’è una differenza enorme tra l’efficienza e la sicurezza: le eSIM, le SIM virtuali integrate che promettevano rivoluzioni nella gestione dei dispositivi mobili, si stanno rivelando l’ennesimo esempio di tecnologia lanciata sul mercato con l’acceleratore premuto a tavoletta e il freno della sicurezza smontato.

Il caso che ha coinvolto milioni di dispositivi basati su eUICC è l’ennesima conferma che ci stiamo affidando a tecnologie critiche senza aver fatto i compiti. E ora, qualcuno rischia grosso.

eSIM compromesse: l’attacco e le sue implicazioni

I ricercatori di Security Explorations hanno pubblicato un’analisi tecnica che mostra come sia possibile compromettere le eSIM utilizzando una falla nella macchina virtuale Java Card, quella stessa piattaforma che dovrebbe far girare in modo sicuro gli applet all’interno delle smart card, comprese appunto le eSIM.

Il bersaglio principale è Kigen, uno dei più importanti fornitori di tecnologia eUICC, con una base installata che si aggira attorno ai due miliardi di dispositivi. Numeri che fanno girare la testa, soprattutto quando si scopre che questi dispositivi erano (e forse sono ancora) vulnerabili a clonazione, intercettazione, backdoor e perfino a un comodo attacco di bricking.

eSIM compromesse: la dinamica dell’exploit

Il meccanismo è relativamente semplice per chi mastica sicurezza: si sfrutta una falla nella validazione del bytecode Java all’interno della eSIM per installare applet malevoli che possono fare tutto ciò che non dovrebbero.

Dall’accesso alle chiavi private alla manipolazione della memoria, fino all’invio di dati a server remoti.

Il tutto, nella totale invisibilità rispetto ai sistemi di controllo tradizionali. I test condotti dai ricercatori su eSIM collegate all’operatore Orange in Polonia hanno dimostrato che una volta compromessa la eSIM, tutte le comunicazioni telefoniche e dati venivano intercettati senza che l’utente ne avesse il minimo sentore.

Una falla ignorata per anni

La gravità di tutta la faccenda è accentuata anche dal fatto che la vulnerabilità era già stata identificata nel 2019 e classificata come “non applicabile” da Oracle, che sviluppa la Java Card.

Ma si sa, la sicurezza è sempre una faccenda secondaria finché non brucia qualcosa.

Ora che la falla è stata dimostrata attivamente sfruttabile, ci si affanna a correre ai ripari. Kigen ha patchato milioni di eSIM, la GSMA ha aggiornato le specifiche tecniche e ha chiuso i profili di test vulnerabili. Bene, ma troppo tardi.

E soprattutto: chi sta controllando che queste patch siano state davvero applicate? Chi garantisce che altre implementazioni Java Card non siano vulnerabili in modo simile?

L’Italia e la falsa sicurezza dell’eSIM

Nel frattempo, nel mondo reale, le aziende italiane continuano a distribuire dispositivi IoT, smartphone aziendali e sistemi M2M con eSIM preinstallate, con l’idea che siano “più sicure” delle vecchie SIM fisiche.

Peccato che, a differenza di una SIM estraibile, una eSIM compromessa non si può semplicemente sostituire. Va riprogrammata, ammesso che si riesca. E nella maggior parte dei casi, la soluzione sarà buttare via il dispositivo intero. Con buona pace dell’efficienza.

E mentre ci beviamo i discorsi sulla digitalizzazione e l’industria 5.0, ci troviamo in una situazione in cui una vulnerabilità nel firmware di un microchip può aprire la porta a intercettazioni di massa, furti di identità, compromissioni di infrastrutture.

Parliamo di sistemi che gestiscono centrali fotovoltaiche, flotte aziendali, videocamere IP, sistemi domotici.

Se qualcuno pensava che il furto di una eSIM fosse roba da spionaggio internazionale, adesso dovrebbe iniziare a preoccuparsi seriamente del suo modem LTE installato nella sede produttiva.

Un problema culturale prima ancora che tecnico

La verità è che in Italia pochissimi stanno affrontando questo problema con la dovuta serietà. Chi si occupa di MDM spesso ignora totalmente cosa gira all’interno della eSIM.

Le policy BYOD non coprono nemmeno lontanamente i rischi di profilazione o intercettazione. I reparti IT si limitano a fornire supporto alla configurazione, senza chiedersi se la SIM che stanno attivando è stata compromessa, o se il profilo è stato manomesso.

Eppure, si tratta, letteralmente, del punto di ingresso alla rete mobile aziendale.

La vera urgenza: audit, trasparenza e responsabilità

Non c’è bisogno di fare allarmismo. C’è solo bisogno di guardare la realtà in faccia: abbiamo delegato la sicurezza delle comunicazioni a un’infrastruttura che non possiamo vedere, toccare, o controllare realmente.

E ora, che questa infrastruttura mostra crepe evidenti, non possiamo continuare a fare finta di niente.

Serve un audit serio su tutti i fornitori eSIM, serve che le aziende pretendano trasparenza, aggiornamenti e test indipendenti.

Serve una cultura che metta la sicurezza prima della comodità.

Perché se oggi si può clonare una eSIM con una backdoor scritta in Java, domani potremmo ritrovarci a inseguire un attacco sferrato attraverso la nostra stessa identità digitale.

E non ci sarà modo di disinstallarla.

Conclusione

Se la sicurezza è un compromesso, oggi stiamo perdendo. Stiamo scegliendo la facilità di gestione rispetto alla resilienza, l’efficienza rispetto alla trasparenza, la corsa al nuovo rispetto all’analisi del rischio.

Le eSIM sono solo l’ennesimo esempio: invisibili, comode, distribuite ovunque, e ora anche vulnerabili.

Chi lavora in ambito cyber security dovrebbe pretendere risposte immediate, non rassicurazioni posticce. Il problema non è solo tecnico: è strategico, è culturale, è sistemico.

Se continuiamo a ignorare i segnali, rischiamo di trasformare l’innovazione in un boomerang. E quando ci colpirà in pieno volto, non potremo dire che non eravamo stati avvisati.