Un’analisi indipendente svela i rischi nascosti delle eSIM vendute da reseller internazionali.
Il mercato delle eSIM internazionali da viaggio è in piena espansione. Aumentano le piattaforme, i piani tariffari, i reseller e i clienti che, attratti dalla praticità di non cambiare fisicamente la scheda, decidono di affidarsi a queste soluzioni per restare connessi all’estero. Ma dietro la comodità si nascondono criticità poco note che toccano direttamente la privacy e la sicurezza dei dati personali. A sollevare la questione è una ricerca pubblicata da USENIX, associazione no-profit attiva nel campo della sicurezza informatica. Lo studio ha analizzato 25 eSIM acquistate da fornitori attivi a livello globale, tra cui i noti Airalo, Holafy e Saily, e ha riscontrato comportamenti opachi, instradamenti anomali del traffico e accessi potenzialmente pericolosi da parte dei rivenditori.
IP esteri e instradamento nascosto: il traffico passa dalla Cina
Uno degli aspetti più controversi emersi riguarda l’indirizzo IP assegnato ai dispositivi. I test, svolti negli Stati Uniti, hanno evidenziato che solo 14 dei 25 provider analizzati assegnavano un IP compatibile con il territorio statunitense. Tutti gli altri localizzavano il dispositivo in Paesi terzi, come la Cina, indipendentemente dalla posizione fisica dell’utente.
Il caso più emblematico è quello di Holafy, società irlandese che però utilizza un endpoint (rsp1.cmlink.com) appartenente a China Telecom, facendo transitare tutti i dati degli utenti attraverso server cinesi. Questo comporta che un utente con GPS disattivato possa vedere contenuti web localizzati per la Cina, invece che per il Paese in cui si trova realmente.
Il motivo dietro a questo comportamento va cercato nella struttura del mercato: i reseller, spesso, non possiedono una propria rete e si appoggiano a operatori infrastrutturati che offrono soluzioni più economiche, senza però comunicare all’utente finale dove transiteranno i suoi dati. La ricerca segnala anche che alcuni provider non solo nascondono questa informazione, ma non offrono alcun tipo di scelta o trasparenza sull’uso di questi percorsi.
Tra i pochi lati positivi segnalati, la presenza implicita di una sorta di VPN integrata che consente, ad esempio, di accedere a servizi streaming non disponibili nel Paese in cui ci si trova realmente. Ma si tratta più di un effetto collaterale che di un vantaggio dichiarato.
Accessi e dati esposti: anche i rivenditori possono vedere troppo
Oltre alla parte tecnica legata alla rete, la seconda parte dello studio si concentra su come funzionano i reseller e su quali informazioni possano accedere. Molti dei fornitori di eSIM permettono a chiunque di aprire un’attività da rivenditore con pochi passaggi: bastano un indirizzo email e un metodo di pagamento. Alcune aziende, come eSIMaccess e Telnyx, offrono veri e propri pannelli di gestione che consentono al rivenditore di monitorare le eSIM vendute, ma anche di visualizzare dati sensibili come l’IMSI, il PIN, e persino la localizzazione approssimativa del cliente, con margine di errore di circa 800 metri.
A tutto ciò si aggiunge la possibilità, per il reseller, di impostare manualmente un IP pubblico visibile dall’esterno, potenzialmente rendendo vulnerabile il dispositivo dell’utente a intrusioni o attacchi remoti.
Questi dati, di norma, dovrebbero restare accessibili solo all’operatore di rete, non a chi rivende il servizio. Eppure, in molti casi, non solo sono visibili, ma addirittura modificabili senza alcuna autorizzazione dell’utente finale. Lo studio mostra anche episodi anomali di “comunicazione proattiva”: eSIM che contattano server remoti, come nel caso di Access (che si è collegata a Singapore) o Holafy (che ha ricevuto un SMS da Hong Kong), a insaputa e senza intervento del proprietario della SIM.