LINUX.ORG.RU

SimJacker - критическая уязвимость в SIM-картах

 , , , ,


1

2

Уязвимость, получившая название SimJacker, находится в программном обеспечении SIMalliance Toolbox Browser (S@T Browser), встроенном в большинство SIM-карт, которые используются мобильными операторами как минимум в 30 странах мира. Злоумышленники могут прибегнуть к ней независимо от марки устройства жертвы. По словам специалистов, этот эксплойт успешно используется хакерами последние несколько лет.

S@T Browser представляет собой приложение, которое устанавливается на SIM-карты, в том числе и на eSIM, как часть SIM Tool Kit (STK), и предназначено для того, чтобы мобильные операторы могли предоставлять своим клиентам разные базовые услуги. S@T Browser содержит ряд инструкций STK, таких как отправка сообщений, настройка звонков, запуск браузера, предоставление локальных данных, запуск по команде и отправка настроек, которые могут быть активированы сообщением.

Используя GSM-модем за 10 долларов, злоумышленники могут отправить на аппарат жертвы поддельное сообщение, содержащее вредоносный код. Это позволяет им:

  • Получить местоположение целевого устройства и его IMEI
  • Распространять любую информацию путём отправки поддельных сообщений от имени жертв
  • Совершать звонки на платные номера
  • Шпионить, приказав устройству позвонить по номеру телефона злоумышленника
  • Загружать вредоносные программы, заставляя браузер устройства открывать вредоносные веб-страницы
  • Отключать SIM-карту
  • Получать информацию о языке на устройстве, заряде аккумулятора и т. д.

★★★

Ну отлично, ничего нового. В более адекватных странах давно отказались от симок. Если я не менял симку 15+ лет, мне стоит переживать? На неё обновление от оператора прилетело лет 5 назад. Стоило оставить симку которой 20 лет?

anonymous ()
Ответ на: комментарий от RazrFalcon

Вангую, что мусолить тему «GSM - несекьюрное говно» уже не модно, поэтому авторы «исследования» выставили возможность подделки управляющих команд как уязвимость самих карт.

Deleted ()

Это не баг, а специально спроэктированная и разработанная фичя.

А где SIM позиционируется безопасниками как устройство которое может хоть как-то использоваться в безопасности?

anonymous ()