Il 3 ottobre 2018, i telefoni cellulari degli Stati Uniti hanno ricevuto un messaggio di testo con l'etichetta "Avviso presidenziale". Il messaggio diceva:"QUESTO È UN TEST del National Wireless Emergency Alert System. Non è necessaria alcuna azione".

È stata la prima prova di un nuovo sistema di allerta nazionale, sviluppato da diverse agenzie governative degli Stati Uniti come un modo per avvertire il maggior numero possibile di persone negli Stati Uniti se un disastro fosse imminente.

Ora, un nuovo studio condotto da ricercatori dell'Università del Colorado Boulder solleva una bandiera rossa attorno a questi avvisi, vale a dire, che tali avvisi di emergenza autorizzati dal Presidente degli Stati Uniti possono, teoricamente, essere falsificato.

Il gruppo, inclusi docenti del Dipartimento di Informatica (CS) di CU Engineering, Dipartimento di Elettrica, Ingegneria Informatica ed Energetica (ECEE) e Tecnologia, Il programma Cybersecurity and Policy (TCP) ha scoperto una backdoor attraverso la quale gli hacker potrebbero imitare quegli avvisi, mandare messaggi falsi a persone in un'area ristretta, come un'arena sportiva o un denso isolato cittadino.

I ricercatori, che hanno già segnalato i loro risultati ai funzionari del governo degli Stati Uniti, affermano che l'obiettivo del loro studio è lavorare con le autorità competenti per prevenire un simile attacco in futuro.

"Pensiamo che questo sia qualcosa di cui il pubblico dovrebbe essere consapevole per incoraggiare i vettori cellulari e gli organismi di normalizzazione a correggere questo problema, "ha detto Eric Wustrow, un co-autore dello studio e un assistente professore in ECEE. "Intanto, le persone dovrebbero probabilmente ancora fidarsi degli avvisi di emergenza che vedono sui loro telefoni".

I ricercatori hanno riportato i loro risultati alla Conferenza internazionale sui sistemi mobili del 2019, Applicazioni e servizi (MobiSys) a Seoul, Corea del Sud, dove il loro studio ha vinto il premio per il "miglior documento".

Wustrow ha detto che lui e i colleghi Sangtae Ha e Dirk Grunwald hanno deciso di portare avanti il ​​progetto, in parte, a causa di un evento reale.

A gennaio 2018, mesi prima del primo test di allerta presidenziale, milioni di hawaiani hanno ricevuto un simile, ma apparentemente genuino, messaggio sui loro telefoni:qualcuno aveva lanciato un attacco missilistico balistico contro lo stato.

Era, Certo, un errore, ma quell'evento ha portato il team di CU Boulder a chiedersi:quanto sono sicuri questi avvisi di emergenza?

La risposta, almeno per le segnalazioni autorizzate dal presidente, dipende da dove guardi.

"L'invio dell'allarme di emergenza dal governo alle torri cellulari è ragionevolmente sicuro, " ha detto il co-autore Sangtae Ha, professore a contratto presso il Dipartimento di Informatica. "Ma ci sono enormi vulnerabilità tra il ripetitore e gli utenti".

Ha spiegato che poiché il governo vuole che gli avvisi presidenziali raggiungano il maggior numero possibile di telefoni cellulari, ci vuole un approccio ampio alla trasmissione di questi avvisi, l'invio di messaggi attraverso un canale distinto a ogni dispositivo nel raggio di una torre cellulare.

Lui e i suoi colleghi hanno scoperto che gli hacker potevano sfruttare questa scappatoia creando il proprio, ripetitori per cellulari del mercato nero. Primo, Il gruppo, lavorare in un laboratorio protetto, sviluppato un software che potrebbe imitare il formato di un avviso presidenziale.

"Dobbiamo solo trasmettere quel messaggio nel canale giusto, e lo smartphone lo prenderà e lo visualizzerà, "Ha detto.

E, Egli ha detto, il team ha scoperto che tali messaggi potrebbero essere inviati utilizzando trasmettitori wireless disponibili in commercio con un alto tasso di successo, o colpendo circa il 90% dei telefoni in un'area delle dimensioni del campo di Folsom di CU Boulder, potenzialmente inviare avvisi dannosi a decine di migliaia di persone.

È una minaccia potenzialmente grave per la sicurezza pubblica, disse Grunwald, un professore di informatica.

"Pensiamo che sia preoccupante, ecco perché abbiamo seguito un processo di divulgazione responsabile con diverse agenzie governative e vettori, " Egli ha detto.

Il team ha già escogitato alcuni modi per contrastare un simile attacco e sta lavorando con partner dell'industria e del governo per determinare quali meccanismi sono più efficaci.