Basta un SMS per conoscere la posizione di un telefono cellulare, ma anche per inviare messaggi a nome della vittima, telefonare a qualsiasi numero (compresi quelli a tariffazione maggiorata), scaricare malware tramite il browser dello smartphone e altro ancora.

Tutto ciò è possibile a causa di una vulnerabilità presente non nei telefoni, ma nelle SIM, le schede che permettono agli operatori di identificare i singoli utenti e il loro numero telefonico.

La falla è stata segnalata da AdaptiveMobile Security ed è stata battezzata Simjacker per la sua capacità di offrire a chi la sfrutta il controllo su una SIM.

Perché un attacco basato su Simjacker funzioni è necessario che la SIM ospiti il software S@T Browser; si tratta di un vecchio programma, che tuttavia è ancora usato da numerosi operatori e si stima sia presente su oltre 1 miliardo di SIM in 30 nazioni.

Un messaggio di testo contenente istruzioni per S@T Browser viene quindi inviato alla SIM; le istruzioni poi «usano la librearia S@T Browser come ambiente per l'esecuzione, da dove è possibile attivare la logica del dispositivo», come spiegano i ricercatori di AdaptiveMobile.

La prima cosa che succede in questo scenario è il prelievo dell'IMEI e della posizione del telefono, che vengono trasmesse all'autore dell'attacco tramite un altro speciale SMS, chiamato Data Message.

Sebbene la scoperta della posizione del telefono sia la prima funzione elaborata con questo sistema, in realtà è possibile impartire molti altri comandi, come spiegavamo all'inizio: dall'invio di messaggio all'attivazione del browser, fino alla disattivazione della SIM, tutto è possibile a causa di questa falla.

Il lato peggiore è che, mentre succede tutto ciò, la vittima non si accorge di nulla. I messaggi diretti a S@T Browser non appaiono tra quelli ricevuti, né quelli in uscita tra quelli spediti.

Secondo AdaptiveMobile lo sfruttamento della vulnerabilità è iniziato a opera di un'azienda privata che, in collaborazione con i governi, operava a fini di sorveglianza. Ora però che i dettagli sono pubblici, moltissimi utenti di telefonia cellulare sono potenzialmente in pericolo.

La SIM Alliance e la GSM Association sono state informate del pericolo, in modo da avere il tempo di elaborare un piano d'azione: la SIM Association ha già inviato raccomandazioni ai produttori di SIM affinché venga creato un sistema sicuro per la gestione dei messaggi S@T, mentre gli operatori possono intervenire per bloccare quegli SMS che contengono codice S@T sospetto.