eSIM per l'estero: uno studio evidenzia i pericoli per la privacy

L’utilizzo delle eSIM (forma abbreviata di embedded SIM) da viaggio si rivela spesso utile e comodo, ma può nascondere possibili problemi legati alla sicurezza e alla vulnerabilità dei propri dati. Un recente studio condotto dall'associazione no profit Usenix fa luce proprio su questi aspetti, delineando un quadro non sempre del tutto positivo.

Il primo problema: la localizzazione errata degli indirizzi IP

La ricerca Usenix si è concentrata su 25 eSIM di diversi rivenditori internazionali, tra i quali figuravano nomi noti come Airalo, Holafy e Saily. Uno dei primi problemi emersi ha riguardato l'errata localizzazione dell'indirizzo IP dall'utente. Nonostante le eSIM siano state testate negli Stati Uniti, infatti, solo 14 hanno mostrato la posizione effettiva del dispositivo. Tutte le altre assegnavano al device un indirizzo di un operatore estero, facendo in modo che l'utente risultasse al di fuori del suo paese.

Questo accade perché molti provider non posseggono infrastrutture ed eSIM proprietarie, ma si limitano ad acquistarle da operatori di tutto il mondo. L’errata localizzazione può avere effetti concreti sull’esperienza di navigazione sul web: banalmente, una eSIM utilizzata negli Stati Uniti ma con localizzazione in Cina potrebbe mostrare contenuti orientali anziché occidentali.

La “comunicazione proattiva” delle eSIM internazionali

Un aspetto potenzialmente problematico dell’impiego di eSIM riguarda la cosiddetta comunicazione proattiva. Si tratta della capacità della scheda di effettuare azioni o di trasmettere dati senza il controllo o un'azione diretta dell'utente. Una pratica del tutto lecita, fondamentale per l'autenticazione sulla rete, ma che nelle mani sbagliate può essere usata per scopi non del tutto legittimi.

Lo studio Usenix ha dimostrato che le eSIM di alcuni fornitori, ad esempio Access, hanno trasmesso dati verso server di Singapore nonostante l'utente fosse localizzato negli Stati Uniti. Un altro provider, Holafy, ha ricevuto un SMS da un numero di Hong Kong.

Le motivazioni di queste attività sono oscure, e fanno capire che la strada verso la trasparenza di questo settore è ancora piuttosto lunga da percorrere.

Lo strano mercato delle eSIM da viaggio

Il report Usenix si è concentrato anche sulle attività delle compagnie che commercializzano eSIM da viaggio. Diverse società sono attive nella vendita di soluzioni che permettono a chiunque di iniziare a commerciare eSIM. eSIMaccess e Telnyx, ad esempio, richiedono solamente un indirizzo email e un metodo di pagamento: dopo aver inserito i dati, è possibile comprare eSIM all'ingrosso e rivenderle al pubblico.

I possibili risvolti per la sicurezza sono evidenti: basta pensare che eSIMaccess consente ai rivenditori di controllare lo stato delle eSIM vendute ai clienti, ottenere il codice univoco IMSI e il PIN di tutte le SIM. Telnyx si spinge ancora oltre, permettendo la localizzazione del dispositivo sulla quale è attivata la eSIM con una precisione di circa 800 m.

Di norma, si tratta di informazioni disponibili agli operatori di telefonia: il problema, in questo caso, è che i dati entrano in possesso anche dei rivenditori, con tutte le possibili conseguenze in termini di sicurezza, vulnerabilità dei dati e protezione della privacy.

Il futuro delle eSIM da viaggio e la richiesta di maggior trasparenza

Il mercato delle eSIM internazionali può nascondere insidie e minacce per la sicurezza, soprattutto se ci si affida a operatori poco noti e conosciuti. La richiesta di maggior trasparenza per quanto riguarda il trattamento dei dati e la localizzazione dei dispositivi deve necessariamente accompagnarsi a una maggiore consapevolezza da parte degli utenti finali.