Falla nelle SIM, vulnerabili 1 miliardo di telefoni

Basta un SMS per conoscere la posizione del dispositivo, aprire il browser, fare telefonate e altro ancora.



[ZEUS News - www.zeusnews.it - 15-09-2019]

simjacker

Basta un SMS per conoscere la posizione di un telefono cellulare, ma anche per inviare messaggi a nome della vittima, telefonare a qualsiasi numero (compresi quelli a tariffazione maggiorata), scaricare malware tramite il browser dello smartphone e altro ancora.

Tutto ciò è possibile a causa di una vulnerabilità presente non nei telefoni, ma nelle SIM, le schede che permettono agli operatori di identificare i singoli utenti e il loro numero telefonico.

La falla è stata segnalata da AdaptiveMobile Security ed è stata battezzata Simjacker per la sua capacità di offrire a chi la sfrutta il controllo su una SIM.

Perché un attacco basato su Simjacker funzioni è necessario che la SIM ospiti il software S@T Browser; si tratta di un vecchio programma, che tuttavia è ancora usato da numerosi operatori e si stima sia presente su oltre 1 miliardo di SIM in 30 nazioni.

Un messaggio di testo contenente istruzioni per S@T Browser viene quindi inviato alla SIM; le istruzioni poi «usano la librearia S@T Browser come ambiente per l'esecuzione, da dove è possibile attivare la logica del dispositivo», come spiegano i ricercatori di AdaptiveMobile.

La prima cosa che succede in questo scenario è il prelievo dell'IMEI e della posizione del telefono, che vengono trasmesse all'autore dell'attacco tramite un altro speciale SMS, chiamato Data Message.

Sondaggio
Gli aspetti peggiori del mercato della telecomunicazione mobile sono:
Tariffe incomprensibili
Concorrenza tra operatori solo di facciata
Cellulari troppo complessi
Mancanza di offerte adatte alle vere necessità
Offerte tecnologiche superflue e costose

Mostra i risultati (3209 voti)
Leggi i commenti (8)

Sebbene la scoperta della posizione del telefono sia la prima funzione elaborata con questo sistema, in realtà è possibile impartire molti altri comandi, come spiegavamo all'inizio: dall'invio di messaggio all'attivazione del browser, fino alla disattivazione della SIM, tutto è possibile a causa di questa falla.

Il lato peggiore è che, mentre succede tutto ciò, la vittima non si accorge di nulla. I messaggi diretti a S@T Browser non appaiono tra quelli ricevuti, né quelli in uscita tra quelli spediti.

simjacker schema

Secondo AdaptiveMobile lo sfruttamento della vulnerabilità è iniziato a opera di un'azienda privata che, in collaborazione con i governi, operava a fini di sorveglianza. Ora però che i dettagli sono pubblici, moltissimi utenti di telefonia cellulare sono potenzialmente in pericolo.

La SIM Alliance e la GSM Association sono state informate del pericolo, in modo da avere il tempo di elaborare un piano d'azione: la SIM Association ha già inviato raccomandazioni ai produttori di SIM affinché venga creato un sistema sicuro per la gestione dei messaggi S@T, mentre gli operatori possono intervenire per bloccare quegli SMS che contengono codice S@T sospetto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Con Android Q gli operatori potranno limitare le SIM nello smartphone
La SIM che si connette direttamente a TOR
Snowden: la CIA violava le SIM card già dalla fabbricazione
Micro-SIM, un paio di forbici e mano ferma
Come adattare la SIM a Micro-SIM
Falla nelle SIM, a rischio 750 milioni di telefonini

Commenti all'articolo (ultimi 5 di 6)

In realtà, come appare dal filmato ad esempio al minuto 1:37, alcune azioni non sono del tutto nascoste, nel caso riportato è necessario il consenso dell'utente del telefono per continuare con l'operazione fraudolenta, il dubbio dovrebbe venire che sta accadendo qualcosa di strano. Leggi tutto
20-9-2019 18:17

Ovviamente della soluzione migliore per la sicurezza quella vera non se ne parla MAI, ovvero ad hardware e software open source, anche a livello di SIM. Temo bisognerà aspettare i cellulari costruiti localmente, con qualche stampante 3D per l'hardware (a parte i processori). Con una base del genere, piazzare moduli open-hardware, tipo... Leggi tutto
17-9-2019 17:25

Ma se fosse stata bloccabile dall'utente o se lo stesso si potesse accorgere di essere vittima di un attacco, le agenzie per la sicurezza avrebbero difficoltà. Il fatto che la falla sia pubblica, IMHO, può significare che vogliano fare un attacco su larga scala e vogliono poter dare la colpa ai soliti hacker russi. Perché una volta... Leggi tutto
17-9-2019 17:16

Ma se fosse stata bloccabile dall'utente o se lo stesso si potesse accorgere di essere vittima di un attacco, le agenzie per la sicurezza avrebbero difficoltà. Il fatto che la falla sia pubblica, IMHO, può significare che vogliano fare un attacco su larga scala e vogliono poter dare la colpa ai soliti hacker russi. Perché una volta... Leggi tutto
17-9-2019 17:15

Hai ragione da vendere, tale caratteristica poteva essere inclusa nel menù sviluppatore.
17-9-2019 09:42

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto sei dipendente dal tuo smartphone?
Non posseggo uno smart phone.
Spesso lo dimentico e quando lo porto con me a volte lo lascio o lo dimentico spento.
Lo utilizzo con una certa frequenza, ma ne potrei fare a meno.
Per lavoro è un compagno inseparabile, ma alla sera e nei week-end lo spengo volentieri.
Lo porto sempre con me: senza mi sentirei incompleto.

Mostra i risultati (4158 voti)
Ottobre 2019
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Antibufala: la Tesla della polizia rimasta a secco durante un inseguimento
Esplode lo smartphone in carica, muore ragazzina
Settembre 2019
Windows, l'aggiornamento di ottobre mette il turbo al Pc
Tutta la verità sul caso del dominio Italia Viva
Ecco perché gli aggiornamenti Windows hanno così tanti bug
A che età dare lo smartphone ai propri figli?
Usa NULL come targa pensando di beffare il sistema informatico delle multe
Gli USA scaricano Huawei e sui portatili arriva Linux Deepin
Falla nelle SIM, vulnerabili 1 miliardo di telefoni
La Francia non vuole Libra in Europa
Tutti gli Arretrati


web metrics