1. 1 mld telefonów może być szpiegowanych przez luki w kartach SIM i SMS

SimJacker to krytyczna luka w zabezpieczeniach kart SIM, która może zostać wykorzystana do ataku na dowolny telefon i szpiegowania ofiar poprzez…wysłanie wiadomości SMS.

Podatność odkryli badacze z firmy AdaptiveMobile Security. Karty SIM mają całkiem sporą pamięć i prosty procesor. Możliwe jest zatem wgranie na nie oprogramowania. Takiego jak np. “dziurawy” S@T Browser (SIMalliance Toolbox) – używany do celów diagnostycznych. Wbudowany jest on w większość kart SIM używanych przez operatorów telefonii komórkowej w co najmniej 30 krajach. Według ekspertów, wykorzystanie istniejącej w nim luki jest niezależne od modelu telefonu używanego przez ofiarę. Co więcej, za jego pomocą możliwy jest atak na urządzenia typu IoT wyposażone w karty SIM.

Oprogramowanie S@T Browser dość stare i powszechnie nieznane. Jego pierwotnym celem było umożliwienie usług takich jak sprawdzenie salda konta. Globalnie jego funkcja została w większości zastąpiona przez inne technologie, a jednak jest nadal używana, działając w tle.

Jak to działa? Atak SimJacker polega na wysłaniu SMS-a zawierającego określony rodzaj kodu typu spyware, który instruuje kartę SIM, aby “przejęła” telefon oraz pobrała i wykonała poufne polecenia. Przykładowo, atakujący wysyła SMS-a do ofiary, a w odpowiedzi otrzymuje informację o jego geolokalizacji. Co ciekawe, ofiara nie widzi tej wiadomości

Co mogą atakujący?

Pobrać naszą lokalizację, wysyłać fałszywe wiadomości w imieniu ofiar, dokonywać oszustwa wybierając numery o podwyższonej opłacie, szpiegować otoczenie ofiar, otwierać złośliwe strony internetowe i rozpowszechniać wirusa czy wykonywać ataki typu DoS.

Raz, dwa, trzy…szpiegowany jesteś Ty. Eksperci ujawnili, że zaobserwowali ataki SimJacker na użytkowników najpopularniejszych urządzeń mobilnych produkowanych przez Apple, Google, Huawei, Motorolę i Samsunga. Zagrożonych jest ponad 1 mld użytkowników telefonów na całym świecie, w tym z dwóch Ameryk, Europy, Bliskiego Wchodu i Afryki Zachodniej.

AdaptiveMobile Security przekonuje, że exploit ten został opracowany przez konkretną prywatną firmę, która współpracuje z rządami w celu monitorowania osób fizycznych. Co więcej, robi to od co najmniej 2 lat…

źródło: xopero.com

Reklamy


Categories: Bez kategorii, Bezpieczeństwo, Rynek

Tags: ,

Dodaj komentarz

%d bloggers like this: