Apple ha rilasciato ufficialmente iOS 26.5 con il supporto della crittografia end-to-end (E2EE) per i Rich Communication Services (RCS) in versione beta. Lo sforzo trasversale è volto a sostituire i tradizionali SMS con un’alternativa più sicura, i messaggi RCS.
A tal fine, la messaggistica RCS con E2EE è in fase di implementazione per gli utenti iPhone con iOS 26.5 presso gli operatori compatibili e per gli utenti Android che utilizzano l’ultima versione di Google Messages. La funzione è abilitata di default sia per le conversazioni nuove che per quelle esistenti su entrambe le piattaforme.
“L’introduzione della cifratura end-to-end di default sui messaggi RCS in iOS 26.5 non va letta come un semplice aggiornamento tecnico”, commenta Francesco Iezzi, Information Security Manager presso Bcube Spa.
Infatti, secondo Iezzi, “Apple e Google non stanno solo migliorando i messaggi tra iPhone e Android. Stanno chiudendo una delle faglie più antiche della comunicazione mobile: quella tra ecosistemi sicuri, ma non pienamente interoperabili”.
Ecco come e quali rischi emergono.
Indice degli argomenti
Messaggi RCS: cosa sono l’alternativa sicura agli SMS
L’RCS è un moderno protocollo di messaggistica basato su Internet che permette agli utenti Android e iPhone di inviare foto e video ad alta risoluzione, visualizzare gli indicatori di digitazione e ricevere le conferme di lettura. Tutte funzionalità tipicamente presenti nelle app di messaggistica istantanea. È basato su una specifica di settore chiamata RCS Universal Profile.
“Quando i messaggi RCS sono crittografati end-to-end, non possono essere letti mentre vengono trasmessi tra i dispositivi”, ha dichiarato Apple in un comunicato. “Gli utenti sapranno che una conversazione è crittografata end-to-end quando vedranno una nuova icona a forma di lucchetto nelle loro chat RCS”.
La società di Cupertino ha iniziato a testare la crittografia end-to-end (E2EE) nei messaggi RCS in iOS e iPadOS 26.4 Beta, limitandola inizialmente alle sole conversazioni tra dispositivi Apple.
Una volta c’era “l’SMS: universale, immediato, legato al numero di telefono, ma strutturalmente debole. Dall’altro le app cifrate: più sicure, ma spesso chiuse dentro ecosistemi proprietari”, spiega Francesco Iezzi.
“RCS, acronimo di Rich Communication Services, è infatti l’evoluzione moderna degli SMS: consente di inviare messaggi tramite rete dati, con immagini e video di qualità superiore, conferme di lettura, indicatori di scrittura e funzioni simili alle app di messaggistica”, approfondisce Francesco Iezzi: “RCS si inserisce esattamente in questo spazio: porta funzionalità moderne e interoperabilità nel canale nativo legato al numero di telefono”.
GSMA vuole proteggere i messaggi tramite protocollo RCS: il cambio di paradigma
All’inizio del 2025, la GSM Association (GSMA) ha annunciato il supporto per l’E2EE al fine di proteggere i messaggi inviati tramite il protocollo RCS.
In una dichiarazione simile, Google ha affermato che gli utenti di Google Messages per Android vedranno un’icona a forma di lucchetto per indicare che la conversazione multipiattaforma è crittografata end-to-end.
“Questo gradito progresso è il risultato di una stretta collaborazione intersettoriale tra il gruppo di lavoro RCS della GSMA, che comprende Apple, Google e l’ecosistema mobile in generale”, ha dichiarato Alex Sinclair, direttore tecnico della GSMA. “Fondamentalmente, si forniscono i nuovi servizi sicuri su una base aperta e riconosciuta a livello globale”.
“Il vero cambio di paradigma, però, non è solo l’arrivo della cifratura. È il fatto che la protezione diventi predefinita“, sottolinea Iezzi: “Questo punto è centrale. Quando la sicurezza è opzionale, dipende dalla consapevolezza dell’utente. Quando è progettata by default, diventa parte dell’architettura del servizio. Non è più l’utente a doversi ‘ricordare’ di proteggere la comunicazione: è il canale stesso a nascere con un livello di protezione più alto”.
Ma, come spesso accade in cyber security, “ogni avanzamento sposta il rischio più che eliminarlo”, secondo Iezzi. Vediamo perché
Il rischio specuolare dei messaggi RCS
“La cifratura protegge il contenuto in transito, ma non risolve tre piani che restano critici”, illustra Iezzi:
- Il primo è l’identità: un messaggio cifrato non garantisce automaticamente che chi lo invia sia davvero chi dichiara di essere.
- Il secondo è l’endpoint: ai due estremi della comunicazione il contenuto torna leggibile, e un dispositivo compromesso può rendere irrilevante anche la migliore cifratura.
- Il terzo sono i metadati: sapere chi comunica con chi, quando e con quale frequenza può essere, in alcuni contesti, tanto sensibile quanto il contenuto stesso”.
Questa evoluzione arriva, inoltre, nello stesso momento in cui “la cyber security sta entrando in una nuova fase: quella delle soluzioni Cyber AI come Mythos di Anthropic e Daybreak di OpenAI“.
Ed è qui che il quadro diventa ancora più interessante, secondo Iezzi: “Se la cifratura rende più sicuro il canale, l’AI applicata alla cyber security cambia la velocità con cui tutto ciò che sta intorno al canale può essere analizzato, attaccato o difeso: applicazioni, sistemi operativi, endpoint, identità digitali, backup, configurazioni, vulnerabilità e processi aziendali”.
L’opportunità è, dunque, evidente: “ridurre il tempo tra scoperta, comprensione, correzione e validazione di una vulnerabilità”, mette in evidenza Francesco Iezzi.
“Ma il rischio è speculare: la stessa velocità può essere usata dagli attaccanti per individuare più rapidamente falle, sfruttare dispositivi compromessi, aggirare controlli deboli o colpire i punti ciechi delle organizzazioni”, mette in guardia Iezzi.
In altre parole, “l’E2EE rafforza la riservatezza della conversazione, ma non governa tutto ciò che sta intorno alla conversazione: identità, dispositivi, backup, notifiche, sincronizzazioni, tracciati e comportamento degli utenti”.
Il rischio per le aziende
“Per le organizzazioni, quindi, il punto non è limitarsi a celebrare la cifratura, macapire dove si sposta il perimetro del rischio“.
“Se il contenuto diventa meno osservabile, diventano ancora più importanti la governance delle identità mobili, le policy MDM, la postura degli endpoint, la gestione dei backup e la formazione degli utenti contro social engineering, impersonificazione e furto di account”, avverte Francesco Iezzi.
Infatti, il punto finale resta questo: secondo Iezzi, “la cifratura protegge il contenuto in transito. Non protegge automaticamente la fiducia.
E oggi molte delle minacce più efficaci non hanno bisogno di leggere un messaggio. Devono solo convincerci a credere che sia vero”.
La nuova partita, quindi, non sarà solo proteggere il messaggio. Consisterà nel proteggere tutto ciò che permette a quel messaggio di essere generato, ricevuto, interpretato e creduto.
Update di sicurezza di Apple del mese
Oltre ai messaggi RCS, gli ultimi aggiornamenti includono anche correzioni per oltre 50 vulnerabilità in iOS e iPadOS, tra cui vari difetti in AppleJPEG, ImageIO, Kernel, mDNSResponder e WebKit che potrebbero essere sfruttati per divulgare informazioni sensibili, causare un attacco denial-of-service (DoS) o provocare l’arresto imprevisto del sistema.
