SimJacker, un miliardo di Smartphone spiati da anni.
L’attacco più sofisticato mai visto su reti mobili.
I ricercatori di Sicurezza della ditta “AdaptiveMobile Security” hanno rivelato oggi l’esistenza di una vulnerabilità critica presente sulle SIM Card dei telefoni cellulari di tutto il mondo e che potrebbe aver permesso ad una società privata che lavora con i governi di condurre una sorveglianza mirata sugli utenti di telefonia mobile da almeno due anni.
La vulnerabilità, chiamata ”SimJacker”, risiede sul software “S@T Browser”, abbreviazione di “SIMalliance Toolbox Browser”, installato sulle SIM Card di almeno 30 paesi e progettato per consentire ai gestori di telefonia mobile di fornire alcuni servizi ai clienti. Quasi tutti i produttori di telefoni cellulari sono interessati alla vulnerabilità perché utilizzano le stesse SIM Card vulnerabili (quasi un miliardo) che si basano su una tecnologia legacy le cui specifiche sono state aggiornate l’ultima volta nel 2009. La vulnerabilità SimJacker se sfruttata, consentirebbe ad aggressori remoti di compromettere i dispositivi mobili di qualsiasi marca, modello e operatore, e spiare le vittime semplicemente inviando un messaggio SMS.
Il software “S@T Browser”, infatti, contiene una serie di comandi STK pre-impostati (es avviare il browser, inviare messaggi, effettuate chiamate, …) che possono essere attivati semplicemente inviando determinati codici e comandi attraverso un SMS ad un dispositivo mobile. Proprio attivando tali istruzioni STK, grazie all’ambiente di esecuzione comandi che fornisce tale software, i criminali potranno, in modo del tutto inconsapevole alle vittime:
- Recuperare la posizione del dispositivo attaccato
- Recuperare le informazioni sul dispositivo come l’IMEI, la lingua, livello della batteria, …
- Inviare messaggi errati e ingannevoli alle vittime
- Far effettuare al dispositivo telefonate anche a tariffe a pagamento
- Spiare l’ambiente circostante dello smartphone facendogli chiamare il numero di telefono dell’attaccante
- Forzare il browser a visitare pagine web che diffondono malware e ulteriore spywhare
- Eseguire attacchi DOS contro il dispositivo disabilitando la SIM Card o spegnere il telefono
I dettagli di questa vulnerabilità e dell’exploit relativo utile a sfruttarla saranno presentati al “Virus Bulletin Conference” di Londra il 03 Ottobre 2019 da parte del CTO di AdaptiveMobile Security.
Ma nonostante il fatto che i dettagli non siano stati ancora resi noti, i ricercatori affermano di aver osservato attacchi reali contro utenti di dispositivi di quasi tutti i produttori, tra cui Apple, Huawei, Google, Samsung, Motorola, ZTE, … Ritengono inoltre che, nel tempo, l’attacco SimJacker sia stato esteso e potrebbe consentire al criminale ulteriori tipologie di attacco oltre quelle elencate sopra.
C’è da domandarsi come abbia fatto questo attacco a funzionare per anni senza che né operatori telefonici né produttori dei dispositivi mobili si siano accorti di nulla. Secondo i ricercatori questo è potenzialmente l’attacco più sofisticato mai visto su reti mobili perché ha sfruttato una combinazione di tecnologie e strumenti tecnologicamente avanzati unito a skill sempre più elevati degli attaccanti. Tutto ciò da un lato ha dimostrato che gli operatori di telefonia mobile non possono più fare affidamento alle difese standard utilizzate fino ad ora e dall’altro che esiste un chiaro pericolo per gli utenti mobili.
C’è inoltre da aspettarsi, ora che tale vulnerabilità è stata rivelata pubblicamente, che altri criminali tenteranno di evolvere questo attacco, inviando ad esempio un SMS contenente già un payload di malware completo. Dal canto loro comunque i ricercatori hanno informato della vulnerabilità l’Associazione GSM, l’organismo commerciale che rappresenta la comunità degli operatori mobili e ovviamente la SIMalliance che rappresenta i principali produttori di schede SIM.
Proprio SIMalliance ha riconosciuto il problema ed ha fornito raccomandazioni ai produttori di SIM Card affinché implementino la sicurezza dei messaggi basati su tecnologia push S@T. Invece gli operatori di telefonia mobile potrebbero impostare processi che analizzino e blocchino i messaggi sospetti che contengono i comandi S@T.
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub
