..fermo li! non è tecnico!
Come i lor signori di certo sapranno, ci sono millemila servizi per inviare essemmesse dal ueb, niente di strano.
Molti di questi servizi (se non tutti) permettono anche di specificare il mittente, che può essere un nome o un numero di telefono cellulare.
Tutti questi servizi, tuttavia, prima di poter usare un numero cellulare come mittente, inviano a quel numero un sms con un codice di verifica per 'validare' il numero e essere certi che l'utente possegga effettivamente quel numero, semplice semplice.
A differenza delle email (dove si può facilmente controllare l'indirizzo ip del server che ha inviato la mail e l'indirizzo ip effettivo del dominio dal quale proviene), però, il cellulare che riceve questi messaggi non ha alcun modo di verificare il messaggio che riceve proviene veramente dal cellulare del mittente o da uno di questi servizi web (ho provato e controllato, non c'è alcun modo).
Preambolo
Qualche settimana fà, un nostro cliente e amico, e venuto in ufficio incazzato come un'ape perchè qualcuno ha inviato un'email compromettente alla sua ragazza utilizzando il suo indirizzo email (classico scherzo da preti), noi abbiamo controllato gli indirizzi ip, e abbiamo potuto dire con certezza che quell'email non l'ha inviata lui (o meglio, l'avrebbe potuta inviare chiunque), e che il vero mistero è come mai l'account di posta della sua ragazza non l'abbia messa nello spam.
Detto ciò, qualche giorno fà un'azienda ci propone uno di questi servizi per inviare sms dal web, ci attiva le API (che quasi parevano moscerini per quanto erano documentate) dell'account di prova e mi metto a smanettare un pò con test vari.
Scopro che il loro servizio non ha alcun metodo di verifica per il mittente: con una semplicità estrema, posso mandare sms fingendomi ('clonando', in pratica) qualsiasi numero cellulare a chiunque, senza che chi riceva il messaggio abbia modo di accorgersi di nulla (se non facendo denuncia alla polizia postale, che indagando probabilmente dovrebbe risalire a tutto l'ambaradan).
Ora mi chiedo, se faccio lo scherzo al mio cliente con la sua ragazza, che caspita ne viene fuori?
Secondo voi devo far notare questa mancanza di sicurezza all'azienda che vende il servizio, o sono cavoli loro?
A me stà cosa non piace per niente, un malintenzionato potrebbe fare davvero dei casini in questo modo.
Poi mi sembra assurdo sia la semplicità con la quale si riesce a fare, sia che chi lo riceve non abbia alcun modo di controllare chi ha inviato i messaggi che riceve.. ma se io mi metto su un gateway sms in casa, posso inviare sms spacciandomi per chiunque?
A livello legale l'azienda che propone il servizio rischia qualcosa?