(in)sicurezza digitale Notizie cybersecurity, malware, ransomware e sicurezza dei dati
Home > Articolo > SS7, il protocollo del 1970 che ha tradito i soldati USA: come l’Iran ha tracciato le truppe americane in Medio Oriente
SS7, il protocollo del 1970 che ha tradito i soldati USA: come l’Iran ha tracciato le truppe americane in Medio Oriente
Iran sfrutta SS7 per tracciare militari USA

Mentre i missili iraniani cadevano sulle basi americane in Iraq e Bahrain nella primavera del 2026, qualcun altro stava già facendo il lavoro sporco a monte: individuare dove dormivano, mangiavano e lavoravano i soldati statunitensi. Non con un drone o un informatore, ma con un protocollo di telecomunicazioni progettato negli anni ’70 per instradare chiamate tra centrali telefoniche. Un’indagine del progetto no-profit Mobile Surveillance Monitor, ripresa dal Financial Times e da TechCrunch, sostiene che Teheran abbia sfruttato sistematicamente le debolezze di SS7 per tracciare il personale militare USA in Medio Oriente prima e durante il conflitto con Israele e Stati Uniti.

Un protocollo vecchio quanto la Guerra Fredda tecnologica

Signaling System 7 (SS7) è l’infrastruttura di segnalazione che dagli anni ’70 permette agli operatori di rete 2G e 3G di scambiarsi informazioni su instradamento di chiamate, SMS e roaming. Il problema è noto da oltre un decennio agli specialisti di sicurezza delle telecomunicazioni: SS7 si basa su un modello di fiducia reciproca tra operatori che non prevede autenticazione robusta tra le reti. Chiunque abbia accesso — legittimo o comprato sul mercato grigio della sorveglianza — a un nodo SS7 può inviare query di tipo “Send Routing Information” (SRI) per ottenere la cella a cui è agganciato un numero di telefono, ottenendo così una localizzazione approssimativa del dispositivo, ovunque nel mondo, senza che l’utente se ne accorga.

È la stessa classe di debolezza usata in passato da broker di sorveglianza commerciale e da servizi di intelligence per intercettare SMS di autenticazione a due fattori o localizzare dissidenti. Ciò che rende il caso iraniano rilevante non è la tecnica in sé, già documentata, ma la scala e il tempismo: un uso operativo in tempo di guerra, contro obiettivi militari di una potenza nucleare.

La scoperta: un’impennata di query SS7 nel Golfo

Gary Miller, ricercatore che ha fondato Mobile Surveillance Monitor e collabora con il Citizen Lab dell’Università di Toronto, ha rilevato un’impennata anomala di “SS7 ping” — richieste ripetute di localizzazione — su reti di telecomunicazione di diversi paesi mediorientali. L’attività sarebbe iniziata a ridosso dell’operazione aerea congiunta USA-Israele contro i siti nucleari iraniani, per poi intensificarsi nei primi giorni del conflitto, quando l’Iran ha lanciato missili e droni contro le posizioni americane nella regione.

I segnali intercettati indicherebbero un interesse mirato per numeri associati a basi militari e hotel utilizzati da personale e contractor statunitensi in Iraq, Bahrain e altri paesi della regione — non una raccolta indiscriminata, ma query concentrate su specifiche fasce numeriche e reti locali note per essere frequentate da soggetti occidentali.

Non solo SS7: l’ad-tech come arma di sorveglianza

Il report segnala un secondo livello di raccolta, complementare a SS7: l’uso di tecnologie pubblicitarie commerciali (l’ecosistema RTB, “real-time bidding”) per identificare smartphone tramite advertising ID (IDFA/GAID) e correlarli, attraverso data broker, a posizioni geografiche precise. È la stessa superficie di rischio già segnalata da anni riguardo alla possibilità per chiunque compri dataset pubblicitari di ricostruire pattern di movimento di individui specifici — qui però applicata, secondo i ricercatori, a fini di targeting militare in un teatro di guerra attivo.

La combinazione delle due tecniche — segnalazione telefonica di rete e dati pubblicitari commerciali — rappresenta un salto di sofisticazione rispetto alle classiche operazioni SS7 isolate: un attore statale che integra fonti SIGINT tradizionali con l’enorme mole di dati commerciali normalmente destinata al marketing.

Timeline essenziale

  • Fine febbraio 2026: primo aumento rilevato delle query SS7 sospette, in coincidenza con l’avvio della campagna aerea USA-Israele contro l’Iran.
  • Marzo-aprile 2026: intensificazione del tracciamento durante lo scambio di attacchi missilistici e con droni contro le posizioni statunitensi in Iraq e Bahrain.
  • 14 luglio 2026: pubblicazione del report da parte del Financial Times, ripreso da TechCrunch, Security Boulevard e altre testate di settore.

Due righe per i difensori

Per chi si occupa di sicurezza delle telecomunicazioni e di protezione del personale ad alto rischio (militari, diplomatici, giornalisti in zone di conflitto, dirigenti esposti), il caso ribadisce alcuni punti che il settore conosce ma fatica a far diventare prassi diffusa:

  • Le difese SS7 lato operatore (firewall di segnalazione, filtri su messaggi SRI-SM/PSI provenienti da reti non attendibili) restano disomogenee a livello globale, specialmente in aree di conflitto dove la cooperazione tra operatori è debole.
  • Il personale ad alto rischio dovrebbe evitare la SIM del proprio operatore domestico quando si muove in teatri sensibili, preferendo dispositivi dedicati, SIM locali “pulite” o soluzioni di comunicazione satellitare/crittografata che non transitano su rete 2G/3G tradizionale.
  • La disattivazione del roaming 2G/3G e l’uso forzato di reti 4G/5G con autenticazione più robusta riduce, senza eliminarla, l’esposizione a query SS7 (il 4G usa Diameter, comunque non immune da abusi simili).
  • Gli advertising ID dei dispositivi militari o di personale sensibile dovrebbero essere disattivati o randomizzati sistematicamente, e le app non essenziali rimosse prima di operazioni in teatri a rischio.

Il caso si inserisce in un pattern più ampio: dal 2014 a oggi, ricercatori indipendenti e vendor di sicurezza mobile hanno ripetutamente dimostrato che SS7 resta uno dei punti ciechi più sottovalutati della sicurezza nazionale, proprio perché la sua debolezza non risiede in un bug patchabile ma nell’architettura stessa di fiducia tra operatori, difficile da riformare su scala globale in tempi brevi.

Indicatori e pattern di rilevamento

Non essendo un malware ma un abuso di protocollo, non esistono IoC nel senso classico. I pattern che i team SOC delle telco e i CERT dovrebbero monitorare includono:

# Pattern di rilevamento abuso SS7 (indicativi, non esaustivi)
- Volume anomalo di messaggi SRI / SRI-SM verso uno stesso MSISDN o range di MSISDN
  in un intervallo di tempo ristretto (query ripetute = tentativo di tracciamento continuo)
- Richieste PSI (Provide Subscriber Info) o ATI (Any Time Interrogation) originate
  da Global Title esterni non associati a roaming legittimo dell'abbonato
- Origine dei messaggi SS7 da reti GT (Global Title) storicamente associate
  a broker di sorveglianza o a operatori "shell" con traffico legittimo minimo
- Correlazione temporale tra query SS7 e attivazione di advertising ID
  dello stesso dispositivo in piattaforme RTB di terze parti
- Assenza di firewall SS7/SIGTRAN conforme alle raccomandazioni GSMA FS.11 e FS.19

La GSMA pubblica da anni linee guida (FS.11, FS.19) per il filtraggio del traffico di segnalazione: la loro adozione disomogenea, soprattutto fuori dai mercati occidentali, resta il vero tallone d’Achille che un attore statale come l’Iran può — e a quanto pare sa — sfruttare con costi minimi e attribuzione tutt’altro che scontata.

Condividi: Twitter  |  Facebook  |  LinkedIn
Unisciti alla discussione

Questo è un blog del Fediverso: puoi trovare questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su SS7, il protocollo del 1970 che ha tradito i soldati USA: come l’Iran ha tracciato le truppe americane in Medio Oriente, utilizza la discussione sul Forum.

>> forum community