Новости Software

В SIM-картах выявлена ошибка, позволяющая взломать телефон отправкой SMS

Специалисты по кибербезопасности обнаружили существование новой, ранее не выявленной, критической уязвимости в SIM-картах, которая позволяет злоумышленникам удалённо взламывать целевые мобильные телефоны и шпионить за жертвами, просто отправив SMS-сообщение. Эта уязвимость, получившая название SimJacker, находится в программном обеспечении S@T Browser (динамический инструментарий для SIM-карт), встроенном в большинство SIM-карт и широко используемом операторами мобильной связи как минимум в 30 странах.

S@T Browser содержит ряд инструкций STK — таких как отправка короткого сообщения, настройка вызова, запуск браузера, предоставление локальных данных, запуск по команде и отправка данных — все они могут быть вызваны простым отправлением сообщения SMS на устройство. ПО предлагает среду выполнения и автоматически запускает вредоносные команды на мобильных телефонах.

Более того, по словам исследователей, SimJacker активно пользовалась некая связанная с правительством частная компания для слежения за людьми в течение как минимум двух лет в нескольких странах. Причём люди проверялись массово по нескольку раз в день.

Обнародованная исследователями из AdaptiveMobile Security в опубликованном недавно докладе уязвимость может быть использована с помощью простого GSM-модема за $10. С него можно отправить на телефон жертвы сообщение SMS, включающее определённый вид вредоносного кода. Благодаря этому злоумышленник может:

  • получить местоположение целевого устройства и информацию IMEI;
  • распространить неверную информацию путём отправки поддельных сообщений от имени жертв;
  • совершать звонки на платные номера от имени абонента;
  • шпионить за окружением жертв, приказав устройству звонить на номер телефона злоумышленника;
  • распространять вредоносный код путём открытия браузером жертвы вредоносных веб-страниц;
  • исполнять атаку, отключающую SIM-карту;
  • получать другую информацию вроде языка, типа радио, уровня заряда батареи и так далее.

При этом во время работы SimJacker пользователь не знает, что он подвергся атаке, а информация была извлечена. Данные о местонахождении тысяч устройств были получены с помощью этой атаки без ведома или согласия пользователей мобильных телефонов, однако SimJacker была расширена для выполнения дополнительных видов атак.

Хотя технические подробности и подробный документ с описанием атаки планируется опубликовать в октябре этого года, исследователи заявили, что выявили реальные атаки на пользователей  телефонов практически всех производителей, включая Apple, ZTE, Motorola, Samsung, Google, Huawei и даже различной электроники с поддержкой SIM-карт. Одна из выявленных жертв подверглась за неделю 250 атакам. Потенциально риску могут быть подвержены более миллиарда человек.

«Simjacker представляет собой явную опасность для мобильных операторов и абонентов. Это потенциально самая изощрённая атака, касающаяся основ мобильных сетей, из когда-либо существовавших, — сказал технический директор AdaptiveMobile Security Кэтал МакДейд (Cathal McDaid). — Это очень тревожный сигнал, который показывает, что злоумышленники вкладывают значительные средства во всё более сложные и изощрённые способы подрыва сетевой безопасности. Он ставит под угрозу приватность и доверие клиентов к операторам мобильной связи и влияет на национальную безопасность целых стран».

Более того, теперь, когда эта уязвимость была публично раскрыта, исследователи ожидают, что хакеры и другие злоумышленники попытаются развить эти атаки. Исследователи уже предоставили полную информацию об уязвимости Ассоциации GSM и Альянсу SIM. Последний признал проблему и выпустил рекомендации для производителей SIM-карт по обеспечению безопасности push-сообщений S@T. Мобильные операторы также могут немедленно устранить угрозу, настроив процесс анализа и блокировки подозрительных сообщений, содержащих команды браузера S@T. Пользователь мобильного устройства, похоже, ничего не может сделать, если использует SIM-карту с S@T Browser — разве что обратиться к оператору для замены SIM-карты на более безопасную.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Ошибка NFT-биржи OpenSea позволила задёшево покупать редкие токены: убытки превышают миллион долларов 3 ч.
Выходцы из Activision Blizzard, Ubisoft, Sega, LucasArts и Sierra запустили студию New Tales для разработки и издания игр 4 ч.
Лучше поздно, чем никогда: в GOG началась своя новогодняя распродажа 4 ч.
Видео: знакомство с новой легендой в трейлере к анонсу следующего сезона Apex Legends 5 ч.
В Steam открылся ранний доступ научно-фантастического триллера Hidden Deep 5 ч.
Европарламент одобрил закон, запрещающий сбор некоторых данных для таргетинга рекламы 5 ч.
На Google подали в суд в США за обман пользователей для получения их личных данных 6 ч.
Видео: музыкальный концерт Даны в новом геймплейном ролике Syberia: The World Before 6 ч.
Apple будут штрафовать на 5 млн евро в неделю за препятствия к использованию сторонних платёжных систем в приложениях 7 ч.
Сегодня в оригинальной Dying Light начнётся новое внутриигровое событие — до выхода сиквела меньше двух недель 7 ч.
Новая статья: Обзор 27-дюймового монитора MSI Modern MD271QP: доступная модель со входом Type-C 2 ч.
Renault, Nissan и Mitsubishi инвестируют $23 млрд в производство электромобилей 2 ч.
Boeing инвестировала $450 млн в разработку аэротакси на электрической тяге 3 ч.
Разработчик систем хранения энергии на сжатом воздухе Hydrostor получил от Goldman Sachs $250 млн инвестиций 3 ч.
Представлен концепт дома на колёсах eStream — он электрический, может ездить без автомобиля, а управлять им можно со смартфона 5 ч.
Samsung готовит среднебюджетный смартфон Galaxy F23 5G с процессором Snapdragon 750G 5 ч.
Arm выпустила прототип платы с процессором повышенной безопасности Morello 6 ч.
Серию Samsung Galaxy S22 представят 9 февраля — новинки будут стоить также, как предшественники 6 ч.
Предприятие Tesla в Калифорнии признано самым производительным автомобильным заводом в США 7 ч.
Eaton оснастила 1GbE-адаптером новый ИБП 5PX G2 для edge-платформ 8 ч.