Falla nelle SIM, vulnerabili 1 miliardo di telefoni

Basta un SMS per conoscere la posizione del dispositivo, aprire il browser, fare telefonate e altro ancora.



[ZEUS News - www.zeusnews.it - 15-09-2019]

simjacker

Basta un SMS per conoscere la posizione di un telefono cellulare, ma anche per inviare messaggi a nome della vittima, telefonare a qualsiasi numero (compresi quelli a tariffazione maggiorata), scaricare malware tramite il browser dello smartphone e altro ancora.

Tutto ciò è possibile a causa di una vulnerabilità presente non nei telefoni, ma nelle SIM, le schede che permettono agli operatori di identificare i singoli utenti e il loro numero telefonico.

La falla è stata segnalata da AdaptiveMobile Security ed è stata battezzata Simjacker per la sua capacità di offrire a chi la sfrutta il controllo su una SIM.

Perché un attacco basato su Simjacker funzioni è necessario che la SIM ospiti il software S@T Browser; si tratta di un vecchio programma, che tuttavia è ancora usato da numerosi operatori e si stima sia presente su oltre 1 miliardo di SIM in 30 nazioni.

Un messaggio di testo contenente istruzioni per S@T Browser viene quindi inviato alla SIM; le istruzioni poi «usano la librearia S@T Browser come ambiente per l'esecuzione, da dove è possibile attivare la logica del dispositivo», come spiegano i ricercatori di AdaptiveMobile.

La prima cosa che succede in questo scenario è il prelievo dell'IMEI e della posizione del telefono, che vengono trasmesse all'autore dell'attacco tramite un altro speciale SMS, chiamato Data Message.

Sondaggio
Gli aspetti peggiori del mercato della telecomunicazione mobile sono:
Tariffe incomprensibili
Concorrenza tra operatori solo di facciata
Cellulari troppo complessi
Mancanza di offerte adatte alle vere necessità
Offerte tecnologiche superflue e costose

Mostra i risultati (3276 voti)
Leggi i commenti (8)

Sebbene la scoperta della posizione del telefono sia la prima funzione elaborata con questo sistema, in realtà è possibile impartire molti altri comandi, come spiegavamo all'inizio: dall'invio di messaggio all'attivazione del browser, fino alla disattivazione della SIM, tutto è possibile a causa di questa falla.

Il lato peggiore è che, mentre succede tutto ciò, la vittima non si accorge di nulla. I messaggi diretti a S@T Browser non appaiono tra quelli ricevuti, né quelli in uscita tra quelli spediti.

simjacker schema

Secondo AdaptiveMobile lo sfruttamento della vulnerabilità è iniziato a opera di un'azienda privata che, in collaborazione con i governi, operava a fini di sorveglianza. Ora però che i dettagli sono pubblici, moltissimi utenti di telefonia cellulare sono potenzialmente in pericolo.

La SIM Alliance e la GSM Association sono state informate del pericolo, in modo da avere il tempo di elaborare un piano d'azione: la SIM Association ha già inviato raccomandazioni ai produttori di SIM affinché venga creato un sistema sicuro per la gestione dei messaggi S@T, mentre gli operatori possono intervenire per bloccare quegli SMS che contengono codice S@T sospetto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Con Android Q gli operatori potranno limitare le SIM nello smartphone
La SIM che si connette direttamente a TOR
Snowden: la CIA violava le SIM card già dalla fabbricazione
Micro-SIM, un paio di forbici e mano ferma
Come adattare la SIM a Micro-SIM
Falla nelle SIM, a rischio 750 milioni di telefonini

Commenti all'articolo (ultimi 5 di 6)

In realtà, come appare dal filmato ad esempio al minuto 1:37, alcune azioni non sono del tutto nascoste, nel caso riportato è necessario il consenso dell'utente del telefono per continuare con l'operazione fraudolenta, il dubbio dovrebbe venire che sta accadendo qualcosa di strano. Leggi tutto
20-9-2019 18:17

Ovviamente della soluzione migliore per la sicurezza quella vera non se ne parla MAI, ovvero ad hardware e software open source, anche a livello di SIM. Temo bisognerà aspettare i cellulari costruiti localmente, con qualche stampante 3D per l'hardware (a parte i processori). Con una base del genere, piazzare moduli open-hardware, tipo... Leggi tutto
17-9-2019 17:25

Ma se fosse stata bloccabile dall'utente o se lo stesso si potesse accorgere di essere vittima di un attacco, le agenzie per la sicurezza avrebbero difficoltà. Il fatto che la falla sia pubblica, IMHO, può significare che vogliano fare un attacco su larga scala e vogliono poter dare la colpa ai soliti hacker russi. Perché una volta... Leggi tutto
17-9-2019 17:16

Ma se fosse stata bloccabile dall'utente o se lo stesso si potesse accorgere di essere vittima di un attacco, le agenzie per la sicurezza avrebbero difficoltà. Il fatto che la falla sia pubblica, IMHO, può significare che vogliano fare un attacco su larga scala e vogliono poter dare la colpa ai soliti hacker russi. Perché una volta... Leggi tutto
17-9-2019 17:15

Hai ragione da vendere, tale caratteristica poteva essere inclusa nel menù sviluppatore.
17-9-2019 09:42

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La rete ha reso famosi due personaggi per certi versi simili anche se molto diversi: secondo te chi è il più grande?
Julian Assange. Prende informazioni dalle grandi aziende e dai governi e le rende pubbliche gratuitamente. È stato accusato - tra le altre cose - di terrorismo.
Mark Zuckerberg. Prende informazioni e dati personali e li vende alle grandi aziende e ai governi. È diventato l'uomo dell'anno.

Mostra i risultati (1940 voti)
Settembre 2020
Veicolo autonomo investe e uccide; guidatore accusato di omicidio colposo
Il bug più serio mai scoperto in Windows
Bug in Immuni vanifica l'efficacia dell'app
Facebook ti paga se disattivi l'account
Amazon cancella 20.000 recensioni fake
Samsung brevetta lo smartphone completamente trasparente
L'app che abilita il God Mode in Windows 10
Intel, i Core di undicesima generazione sorpassano Amd
Windows 10 e il bug che deframmenta di continuo gli Ssd
Agosto 2020
Windows 10 rimuoverà automaticamente le app meno utilizzate
Malware negli smartphone a basso costo ruba dati e denaro
Duplicare una chiave col microfono dello smartphone
Chrome, Url troncati per combattere il phishing
Tim e Wind Tre, crescono le tariffe
Il chip nel cervello di Elon Musk
Tutti gli Arretrati


web metrics