I ricercatori di cybersecurity hanno rivelato l’esistenza di una nuova vulnerabilità critica in precedenza non rilevata nelle carte SIM, potrebbe consentire agli aggressori remoti di monitorare i telefoni cellulari mirati e spiare le vittime inviando semplicemente un SMS.
La vulnerabilità soprannominata “SimJacker” risiede in un particolare software, chiamato S @ T Browser (un toolkit SIM dinamico), incorporato nella maggior parte delle schede SIM che sono ampiamente utilizzato dagli operatori di telefonia mobile in almeno 30 paesi, può essere sfruttato indipendentemente da qualsiasi tipo di cellulare utilizzato dalle vittime.
Cosa c’è di preoccupante? E’ emerso che una specifica società privata che lavora con i governi sta sfruttando attivamente la vulnerabilità di SimJacker da almeno due anni per condurre una sorveglianza mirata sugli utenti di telefonia mobile in diversi paesi.
S @ T Browser, abbreviazione di SIMalliance Toolbox Browser, è un’applicazione che è installata su una varietà di schede SIM, incluso eSIM, come parte di SIM Tool Kit (STK), è stata progettata per consentire ai gestori di telefonia mobile di fornire alcuni servizi di base, abbonamenti e servizi a valore aggiunto via etere per i loro clienti.
S @ T Browser poiché contiene una serie d’istruzioni STK (come inviare messaggi brevi, impostare chiamate, avviare il browser, fornire dati locali, eseguire a comando e inviare dati) che possono essere attivate semplicemente inviando un SMS a un dispositivo, il software offre un ambiente idoneo per eseguire comandi dannosi anche sui telefoni cellulari.
Come funziona la vulnerabilità di Simjacker?
La vulnerabilità divulgata dai ricercatori di AdaptiveMobile Security può essere sfruttata inviando un SMS contenente un tipo specifico di codice simile a spyware, utilizzando un modem GSM da dieci dollari per eseguire su un determinato cellulare diverse attività elencate di seguito:
– recupero della posizione del dispositivo target e delle informazioni IMEI;
– diffondere informazioni errate inviando messaggi falsi per conto delle vittime;
– esecuzione di truffe a tariffa premium componendo numeri a tariffa premium;
– spiare l’ambiente circostante delle vittime dando istruzioni al dispositivo di chiamare il numero di telefono dell’attaccante;
– diffondere malware forzando il browser del telefono della vittima ad aprire una pagina Web dannosa;
– esecuzione di attacchi denial of service disabilitando la carta eSIM;
– recupero di altre informazioni come lingua, tipo di radio, livello della batteria, ecc.
I ricercatori hanno detto:
«L’utente durante l’attacco è completamente inconsapevole di averlo ricevuto, e che i suoi dati sono stati sottratti con successo. Le informazioni sulla posizione di migliaia di dispositivi sono state ottenute nel tempo senza la conoscenza o il consenso degli utenti di telefonia mobile interessati. L’attacco Simjacker tuttavia può ed è stato ulteriormente esteso per eseguire altri tipi di attacchi poiché l’SMS di Simjacker potrebbe logicamente essere classificato come portatore di un payload di malware completo, in particolare spyware perché contiene un elenco d’istruzioni che la scheda SIM deve eseguire».
I ricercatori sebbene i dettagli tecnici, il documento e la dimostrazione della vulnerabilità siano programmati per essere rilasciati pubblicamente il prossimo mese di ottobre, hanno affermato di aver osservato attacchi reali contro utenti con dispositivi di quasi tutti i produttori, tra cui Apple, ZTE, Motorola, Samsung, Google, Huawei e persino dispositivi IoT con schede SIM.
Hanno detto che tutti i produttori e i modelli di telefoni cellulari sono vulnerabili all’attacco SimJacker poiché la vulnerabilità sfrutta una tecnologia obsoleta incorporata nelle schede SIM, le cui specifiche non sono state aggiornate dal 2009, mettendo potenzialmente a rischio oltre un miliardo di persone.
Vulnerabilità SimJacker sfruttata allo stato brado
I ricercatori affermano che l’attacco di Simjacker ha funzionato così bene ed è stato sfruttato con successo per anni “perché ha utilizzato una combinazione d’interfacce complesse e tecnologie oscure, dimostrando che gli operatori mobili non possono fare affidamento su protezioni standard”.
Cathal McDaid, responsabile tecnologia di AdaptiveMobile Security in un comunicato stampa, ha detto:
«Simjacker rappresenta un chiaro pericolo per gli operatori e gli abbonati mobili. È questo potenzialmente l’attacco più raffinato mai visto su reti mobili, un grande campanello d’allarme che mostra che i soggetti ostili stanno investendo pesantemente in metodi sempre più complessi e creativi per minare l’integrità della rete. Ciò compromette la sicurezza e la fiducia di clienti, operatori mobili e influisce sulla sicurezza nazionale d’interi paesi».
I ricercatori ora che questa vulnerabilità è stata rivelata pubblicamente, si aspettano che hacker e altri soggetti malintenzionati cercheranno di “evolvere questi attacchi in altre aree”.
I ricercatori hanno divulgato in modo responsabile i dettagli di questa vulnerabilità all’Associazione GSM, all’organismo commerciale che rappresenta la comunità degli operatori mobili e all’alleanza SIM che rappresenta i principali produttori di SIM Card / UICC.
SIMalliance ha riconosciuto il problema e fornito raccomandazioni ai produttori di schede SIM per implementare la sicurezza dei messaggi push S @ T.
Gli operatori di telefonia mobile possono mitigare immediatamente questa minaccia impostando un controllo per analizzare e bloccare i messaggi sospetti che contengono comandi S @ T Browser.
L’utente di dispositivi mobili come potenziale vittima, a quanto pare, non c’è molto che possa fare se sta utilizzando una scheda SIM con la tecnologia S @ T Browser installata su di essa, ad eccezione della richiesta di una sostituzione della propria SIM con quella che conterrà modifiche alle impostazioni di sicurezza.
