Chyba je nezávislá na zařízení a operačním systému. Bez ohledu na výrobce, model nebo operační systém, jedno mají mobily společné. Abyste je mohli používat pro SMS, telefonování a internet, musíte vložit SIM kartu. Malá nenápadná věc zpočátku zdaleka nevypadala tak zranitelně, jak se ukázalo později a mnozí zdaleka nepředpokládali.
Podle bezpečnostní firmy AdaptiveMobile Security lze SIM kartu použít jako komplexní špionážní nástroj. Na konci minulého týdne bezpečnostní experti zveřejnili informace o zranitelnosti, která cílila na mobily po celá léta, přesto zůstala nezjištěna.
Jak útok funguje?
Díky bezpečnostní díře změní tato malá kata váš mobil na špionážní nástroj.
Podle odborníků z AdaptiveMobile začíná útok, pojmenovaný jako Simjacker, zasláním SMS zprávy na zacílený mobil. SMS obsahuje kód, který díky instalovanému softwaru na kartě umožní, aby SIM začala špehovat zařízení do kterého je vložena. Uživatel nic nezpozoruje. Nedostane žádnou notifikaci o došlé SMS, nemusí nic otevírat a nevidí ji ve složce došlých zpráv. Jakmile SMS provede příslušné příkazy, útočníci mají celou řadu dalších možností pro špionské aktivity.
Informace od bezpečnostní společnosti hovořily o dosavadním zneužívání chyby zabezpečení SIM především pro získávání údajů o poloze a informací o zařízení; zejména IMEI. Experti však v průběhu svého testování byli schopni provádět mnoho dalších funkcí, jako např. odesílání textových zpráv, volání na placená čísla nebo otevírání internetového prohlížeče v zařízení.
Hrozbou je potenciálně postižena více než miliarda uživatelů
Bezpečnostní díru obsahují SIM karty všech operátorů.
Jak vysvětluje AdaptiveMobile Security ve svém blogu, zranitelnost je v S@T Browseru, programu, který měl původně umožňovat poskytování služeb, jako např. dotazy na zbývající kredit prostřednictvím SIM. Přestože je tento obslužný software zastaralý, na mnoha SIM kartách je stále instalovaný, a to u všech operátorů. Podle odborníků se takové karty používají v nejméně 30 zemích. V celkovém odhadu jde tedy o více než miliardu uživatelů, kteří jsou této zranitelnosti vystaveni. Výrobce zařízení a operační systém nehrají roli.
Za útoky údajně stojí soukromá firma, která spolupracuje s vládami na sledování vytipovaných jednotlivců. Účelem bylo sledovat stovky telefonních čísel po dobu zhruba dvou let. AdaptiveMobile nechce o zranitelnosti prozradit více, budeme si muset počkat na konferenci do začátku října. Mobilní operátoři a mezinárodní sdružení poskytovatelů byli o všem informováni a snaží se zranitelnost vyřešit. Uživatelé se mohou obrátit na svého operátora a požádat o o zjištění, zda je používaná SIM karta napadena a případně požádat o výměnu bez zranitelného softwaru.