Simjacker, il pericoloso spyware che colpisce le schede SIM.


In questi giorni alcuni esperti di sicurezza dell'AdaptiveMobile Security hanno scoperto una grave vulnerabilità nelle SIM card che permette di accedere alla posizione geografica dell'utente. In pratica si tratta di un exploit, denominato Simjacker dall'azienda irlandese e che, secondo le indiscrezioni, viene utilizzato da almeno 2 anni da diversi Paesi per eseguire attacchi contro specifici target a scopo di spionaggio. Entrando un po' più nei dettagli l'attacco viene effettuato tramite l'invio di un SMS contenente istruzioni STK, (acronimo che sta per SIM Application Toolkit), che vengono eseguite dal S@T Browser, vale a dire un software noto anche come SIMalliance Toolbox Browser e che è presente in tutte le schede SIM: si tratta di un software piuttosto vecchio, (infatti, non viene aggiornato dal 2009), il cui scopo originale era quello di abilitare determinati servizi, come, ad esempio, la lettura del credito telefonico. In sostanza, anche se ad oggi la sua funzione viene svolta da tecnologie più moderne, il protocollo S@T viene ancora utilizzato dagli operatori telefonici di almeno 30 Paesi per un totale di oltre un miliardo di persone, nonché potenziali vittime. Ad ogni modo, come già anticipato, il codice sorgente di Simjacker gli permette di recuperare la posizione geografica e l'identificativo IMEI del dispositivo, e successivamente di inviarle tramite SMS ad un "complice": naturalmente con questo tipo di attacco la vittima non si accorgerà di nulla perché sia gli SMS in entrata che in uscita non vengono segnalati. In ogni caso Simjacker, (i cui dettagli tecnici verranno divulgati durante la conferenza Virus Bulletin 2019 del prossimo 3 Ottobre), rappresenta il primo caso di spyware inviato tramite SMS e con esso oltre ottenere la posizione geografica è possibile trafugare altre informazioni ed eseguire varie operazioni: ad esempio, inviare SMS/MMS, effettuare chiamate verso numeri a pagamento, ascoltare le conversazioni, aprire una pagina infetta con il browser ed addirittura disattivare la SIM card. Comunque sia i ricercatori dell'AdaptiveMobile Security ha consigliato agli operatori telefonici di bloccare messaggi sospetti che includono comandi S@T Browser, seguendo le linee guida stabilite dalla SIMalliance, oppure in alternativa dovrebbero aggiornare le impostazioni di sicurezza delle SIM card; anche se, sempre secondo gli esperti, la soluzione migliore sarebbe, infine, quella di disattivare completamente la tecnologia S@T Browser, cosa che, però, richiederebbe un po' più di tempo.

Di seguito un'immagine che riassume un po' il tutto:
https://simjacker.com/images/simjacker/simjacker-example@2x.png
...ed un video esplicativo:

Commenti