L’evoluzione degli SMS con il protocollo RCS: impatti su sicurezza, privacy e indagini giudiziarie - Cyber Security 360

SOLUZIONI TECNOLOGICHE

L’evoluzione degli SMS con il protocollo RCS: impatti su sicurezza, privacy e indagini giudiziarie

Nonostante la sempre maggiore diffusione delle app di messaggistica come WhatsApp e Telegram, gli SMS si stanno evolvendo grazie all’introduzione del protocollo RCS che consente di usarli allo stesso modo delle chat nelle app di messaggistica. Ecco che c’è da sapere

17 Mar 2021
R
Paolo Reale

Ingegnere, President at ONIF - Osservatorio Nazionale Informatica Forense

Nonostante la relativamente recente introduzione dei moltissimi servizi di messaggistica istantanea di grande successo, come WhatsApp, Telegram e altri ancora, a tutt’oggi ci sono più di quattro miliardi di utenti di SMS in tutto il mondo che inviano 20 miliardi di messaggi al giorno e gli Short Message Service stanno vivendo una nuova evoluzione anche grazie all’introduzione del protocollo RCS.

È vero anche come i consumatori e le imprese stiano adottando sempre più i servizi di comunicazione multimediale basati su protocolli Internet, al posto delle chiamate vocali a commutazione di circuito e dei servizi di messaggistica breve (il primo SMS, Short Message Service, fu inviato il 3 dicembre 1992), tuttavia esiste anche un effetto frenante legato al fatto che si tratta di sistemi chiusi, su piattaforme proprietarie.

Il risultato è che gli utenti si trovano ad affrontare un numero crescente e confuso di strumenti di comunicazione e modi per rimanere in contatto, gestiti prevalentemente da soggetti differenti dagli operatori telefonici, molto spesso da società che hanno un preciso interesse commerciale a gestire piattaforme di questo tipo, con le relative ed inevitabili conseguenze.

È, infatti, proprio una notizia recente che Facebook stia aggiornando i termini di servizio e l’informativa sulla privacy per la sua app WhatsApp: in base a quanto si legge nella nuova informativa, a partire dal prossimo 15 maggio 2021, gli utenti dovranno accettare di condividere i propri dati e le proprie informazioni con Facebook, anche se per ora questo obbligo non riguarderebbe i Paesi dell’Unione Europea. È forse arrivato il momento di pensare ad altre soluzioni?

L’evoluzione degli SMS con il protocollo RCS

La GSM Association già nel 2007 aveva ipotizzato quale avrebbe potuto essere l’evoluzione degli SMS, definendo un nuovo protocollo: il Rich Communication Services, o RCS. Il CTO di GSMA scriveva, nel 2008, che RCS “consentirà agli utenti mobili di vedere a colpo d’occhio se i loro contatti sono disponibili per parlare o scambiare messaggi istantanei, avviare facilmente sessioni di chat con un gruppo di amici o scambiare immagini o video durante una chiamata vocale, indipendentemente dal dispositivo o dalla rete che stanno utilizzando“.

La proposta del GSMA era assolutamente corretta e rivelatrice, ma per motivi diversi non ha trovato un seguito: da un lato lo standard è diventato subito un complicato pantano di spin-off, aspetti politici e confusione sul marchio, dall’altro i gestori telefonici erano restii a far evolvere un servizio che a costo praticamente nullo consente un ricavo sicuro e sempre importante.

Ricordiamo, infatti, che la trasmissione degli SMS avviene tramite l’utilizzo del canale di segnalazione telefonica, e quindi è come se fosse sostanzialmente “gratis” sotto questo profilo. RCS è quindi rimasta solo “una bella idea”, o – per descriverla con le parole di alcuni analisti, “uno zombie”.

Cos’è il protocollo RCS

RCS consente di utilizzare i messaggi di testo in modo coinvolgente come WeChat, WhatsApp e altre app di messaggistica, raggiungendo nel contempo il bacino di tutti gli utilizzatori di SMS e MMS.

Funzionalità avanzate come la condivisione di foto e video ad alta risoluzione, indicazioni geografiche su mappa, condivisione della posizione, indicatori sulla digitazione, la possibilità di aggiungere e rimuovere membri alle chat di gruppo e molto altro ancora, diventano parte integrante dell’app di messaggistica predefinita di un dispositivo, indipendentemente dalla rete su cui è attestato l’utente.

Può essere utilizzato negli stessi ambiti di messaggistica da persona a persona (P2P), quindi tra amici e gruppi, o in un contesto di business come messaggistica da applicazione a persona (A2P), come comunicazione aziendale, di marketing, di supporto al processo di acquisto e altro ancora.

Per superare le difficoltà legate ai diversi standard di implementazione di RCS, GSMA ha definito il cosiddetto “profilo universale”: un unico insieme di funzionalità e abilitatori tecnici concordato nel settore, sviluppato per semplificare la diffusione del prodotto e l’implementazione di RCS da parte dell’operatore, consentendo così di poter raggiungere miliardi di consumatori in tutto il mondo.

Questo “profilo universale” contiene tutte le funzionalità di base descritte in precedenza, insieme ai principali abilitatori per Messaging as a Platform (MaaP): supporto per la messaggistica aziendale RCS, le Rich Card, il controllo della privacy e la protezione dallo spam.

RCS si basa sull’architettura IP Multimedia Subsystem (IMS), che costituisce la differenza principale rispetto ai servizi forniti dagli “Over The Top” (OTT) come WhatsApp ecc.: IMS garantisce proprio l’interoperabilità tra più fornitori di servizi, a differenza delle piattaforme “chiuse” degli OTT.

RCS non prevede l’utilizzo di un database centralizzato di chi ha attivato questa funzionalità, come invece accade p.es. con iMessage, per il quale Apple utilizza un database centrale che consente di sapere se la persona che stiamo contattando ha anche iMessage.

RCS invece utilizza un “modello federato”: i singoli operatori interconnessi sono responsabili dei server che consegnano i messaggi ai propri utenti, la nostra App invierà una query (notifica push) direttamente all’altro telefono.

Un’altra differenza è che iMessage consente la ricezione dei messaggi contemporaneamente su tutti i nostri dispositivi, mentre RCS è legato al numero di telefono, e quindi può recapitare il messaggio ad un solo dispositivo. Esiste infatti un’associazione tra numero di telefono e dispositivo, conservata da Google per un periodo temporaneo, fino alla successiva verifica tramite un SMS di conferma del nostro numero di telefono.

Di seguito lo schema logico di funzionamento di RCS.

Evoluzione degli SMS: la scommessa di Google

Google ha realizzato moltissime piattaforme di messaggistica, con caratteristiche e audience differenti: perché dovrebbe essere interessata ad un protocollo che non ha mai visto un’adozione significativa? Eppure, sembrerà strano, ma sul protocollo RCS Google ha visto un’opportunità: competere con WhatsApp e Facebook, ma soprattutto con iMessage di Apple.

Quest’ultimo, infatti, è vincente per la sua semplicità: basta inviare un messaggio, allo stesso modo e nella stessa app per tutti i possibili destinatari… Invia ‘fuochi d’artificio’ a un altro utente iPhone, o si trasforma in semplice testo per gli altri. Rifare la stessa cosa su Android è complicato, e richiede la collaborazione dei gestori, impresa certo non facile.

Google si è quindi mossa in autonomia, prima acquisendo la startup Jibe, impegnata su questo fronte, e poi facendo evolvere l’app “Messages”, come componente naturale di Android, anche scaricabile dagli store per chi non l’avesse già.

Già dalla scorsa primavera sono arrivati i messaggi relativi alla disponibilità del servizio RCS per molti utilizzatori dell’app, sulle reti di diversi gestori anche in Italia: Google gestisce questo passaggio in prima persona, avvisando gli utenti della possibilità di utilizzare RCS Chat. La scelta, quindi, rimane in carico all’utente, se accettare o meno tale invito.

Gli aspetti relativi alla sicurezza

Le preoccupazioni legate alla sicurezza di questo nuovo protocollo sono prevalentemente correlate al fatto che la gestione del servizio non risiede su un’unica rete: un messaggio può anche transitare, in base alla sua destinazione ovviamente, su reti di gestori differenti di altri Paesi, aprendo alla possibilità che in alcuni di questi possano essere attivate modalità di attacco, come già avvenuto recentemente.

L’aspetto su cui tuttavia si sono concentrate le maggiori attenzioni in tema di sicurezza è il fatto che la comunicazione RCS è crittografata durante il trasporto, ma non in tutti i punti: il servizio non prevede la crittografia end-to-end, consentendo quindi al provider del servizio di poter -potenzialmente- leggere il contenuto del messaggio, e consegnarlo alle autorità in caso di richiesta.

Considerata la diffusa inquietudine espressa da più parti su questa modalità, Google si è impegnata a realizzare la crittografia end-to-end per il servizio RCS, come illustrato nel relativo paper pubblicato a novembre 2020, in cui viene indicata l’adozione dello stesso protocollo utilizzato da Signal per la crittografia E2E.

Relativamente alla conservazione dei contenuti scambiati, RCS di Google invia e archivia temporaneamente file come immagini, video, gif e adesivi attraverso la creazione di URL non decifrabili, generati in modo casuale.

Questi URL non sono visibili a noi o alla persona che riceve il messaggio: Google li blocca per impedire il collegamento tra il file ospitato ed il numero di telefono. Relativamente a questo, Google spiega che “per impedire connessioni tra il file ospitato e il tuo numero di telefono, Google utilizza uno speciale algoritmo (funzione hash) che trasforma questi URL e rende molto difficile associare il file e il tuo numero di telefono.

In realtà, come hanno mostrato le vicende relative allo sviluppo delle altre app di messaggistica, solamente quanto vi sarà un’adozione massiccia di questo strumento sarà possibile esprimere una valutazione migliore in merito agli aspetti di security, e all’esistenza di vulnerabilità.

I problemi legati all’analisi forense

Con la diffusione del servizio RCS più estesa e capillare, però saranno altri gli aspetti che fanno intravedere importanti criticità, soprattutto nel contesto di un’indagine giudiziaria.

Innanzitutto, la possibilità di intercettazione: per gli SMS tradizionali è assicurata dalle funzionalità per l’Autorità Giudiziaria, attivabili tramite decreto e rese disponibili dai gestori nazionali, ma per i messaggi scambiati tramite il protocollo RCS?

In questo caso i messaggi saranno trasmessi tramite rete IP, e il provider del servizio non sarà più il nostro gestore telefonico, ma una società americana. Non si potrà quindi accedere a quei contenuti, se non con un’estensione del decreto ad un’opportuna intercettazione dati, ovvero con modalità analoghe a quelle presenti nel caso delle altre app di messaggistica.

Non sarebbe infatti sufficiente “leggere” il traffico scambiato in rete, per via della crittografia adottata.

Ma l’aspetto più critico riguarda la documentazione del traffico telefonico: attualmente tutti i tabulati di traffico storico prevedono la rappresentazione degli SMS inviati e ricevuti, in alcuni casi anche registrando i passaggi intermedi da e verso i server di smistamento, e mostrando sempre la cella di aggancio nell’istante di invio o di ricezione.

Ma in questo caso il messaggio transita sulla rete dati, e pertanto non darà luogo alla generazione di un cartellino CDR (call detail record). Il tabulato sarà quindi più ‘povero’ di informazioni essenziali, che spesso si rivelano cruciali nelle investigazioni.

Per questa ragione occorre, da un lato, che gli operatori forensi, siano essi appartenenti alle forze dell’ordine come professionisti privati, siano consapevoli che la mancanza di SMS su un tabulato telefonico non sarà indicativa di un mancato traffico di quel tipo, ma solo di una differente modalità di scambio non tracciata su quel supporto.

Dall’altro lato occorrerà comprendere come adeguare una visibilità di questo tipo, con il supporto verosimilmente dei gestori telefonici: se questo non avvenisse, questo vuoto di informazione potrà essere colmato esclusivamente tramite una rogatoria internazionale, strumento di non facile utilizzo, in quanto, oltre a rallentare sicuramente le indagini, spesso non ha un esito certo né, soprattutto, rapido.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4