WIBattack, la nuova minaccia per le schede SIM.


Dopo Simjacker, il pericoloso spyware scoperto qualche settimana fa dagli esperti di sicurezza dell'AdaptiveMobile Security, in questi giorni alcuni ricercatori del Ginno Security Lab hanno individuato un'altra minaccia per le SIM card: si tratta di un nuovo exploit denominato WIBattack ed anch'esso consente di prendere il controllo di un telefono inviando un SMS con comandi specifici per il WIB, (acronimo di Wireless Internet Browser), presente, appunto, nelle SIM. In pratica Simjacker e WIBattack funzionano in modo molto simile: l'unica differenza è che i comandi inviati tramite SMS sono indirizzati ai due differenti software installati sulle SIM, (ovvero l'S@T Browser ed il WIB). In sostanza quest'ultimo viene utilizzato dagli operatori telefonici per la gestione remota delle SIM e lo stesso potrebbe fare un malintenzionato: il menù del WIB può essere, infatti, aggiornato tramite i cosiddetti SMS OTA, (ossia Over-The-Air), ed inserendo comandi specifici nel messaggio è possibile effettuare, ad esempio, una chiamata, inviare SMS, aprire il browser ed ottenere la posizione geografica del dispositivo. Ad ogni modo anche se gli esperti del Ginno Security Lab hanno fatto sapere che le SIM con il WIB ammontano a centinaia di milioni, il team degli SR Labs ha spiegato che il numero reale sia molto inferiore: usando la telemetria su 800 SIM card, solo il 10,7% è risultato avere il Wireless Internet Browser installato e di quest'ultime solo il 3,5% era vulnerabile all'attacco in questione; il che significa che la maggior parte degli operatori telefonici ai tempi d'oggi non usa più il WIB per la gestione delle SIM. Comunque sia i ricercatori del Ginno Security Lab ha fornito tutti i dettagli dell'exploit WIBattack alla GSM Association, specificando le possibili soluzioni da attuare lato rete. Inoltre gli utenti possono verificare se la propria SIM è vulnerabile tramite l'apposito tool SIMtester e l'applicazione SnoopSnitch: se la SIM risulta essere esposta a tale attacco si potrebbe chiedere la sostituzione; anche se in generale il rischio è piuttosto ridotto in quanto di solito questi tipi di attacchi vengono effettuati contro target specifici.

Di seguito un'immagine che riassume il tutto:
https://ginnoslab.org/wp-content/uploads/2019/09/image-3.png
...ed un video che mostra un esempio di attacco:

Commenti