Gli esperti di AdaptiveMobile Security hanno scoperto una grave vulnerabilità nelle SIM card che permette di accedere alla posizione geografica dell’utente. Un exploit, denominato Simjacker dall’azienda irlandese, viene utilizzato da almeno due anni da diversi paesi per eseguire attacchi contro specifici target a scopo di spionaggio. I dettagli tecnici verranno divulgati durante la conferenza Virus Bulletin 2019 del 3 ottobre.
L’attacco Simjacker viene effettuato tramite l’invio di un SMS contenente istruzioni STK (SIM Toolkit) che vengono eseguite dal S@T Browser, un software presente sulle SIM card. Il codice di Simjacker recupera la posizione geografica e l’identificativo IMEI del telefono. Queste due informazioni vengono quindi inviate tramite SMS al dispositivo mobile del destinatario. Durante l’attacco la vittima non si accorgerà di nulla perché gli SMS in entrata e uscita non vengono segnalati.
La vulnerabilità è dunque nel S@T Browser (SIMalliance Toolbox Browser), in quanto non verifica l’origine dei messaggi. Si tratta di un software piuttosto vecchio (non viene aggiornato dal 2009), il cui scopo originale era quello di abilitare determinati servizi, come la lettura del credito telefonico. La sua funzione viene oggi svolta da tecnologie più moderne, ma il protocollo S@T viene ancora utilizzato dagli operatori telefonici di almeno 30 paesi per un totale di oltre un miliardo di persone (e potenziali vittime).
Simjacker è il primo caso di malware (spyware per l’esattezza) inviato tramite SMS. Oltre alla posizione geografica è possibile ottenere altre informazioni ed eseguire varie operazioni: inviare SMS/MMS, effettuare chiamate premium verso numeri a pagamento, ascoltare le conversazioni, aprire una pagina infetta con il browser e disattivare la SIM card. La vulnerabilità riguarda qualsiasi dispositivo con una SIM card.
AdaptiveMobile Security consiglia agli operatori telefonici di bloccare messaggi sospetti che includono comandi S@T Browser, seguendo le linee guida della SIMalliance. In alternativa dovrebbero aggiornare le impostazioni di sicurezza delle SIM card. La soluzione migliore è disattivare completamente la tecnologia S@T Browser, ma ciò richiede più tempo.