“Ogni uomo è circondato da un esercito di spie volontarie.”
Jane Austen
Settembre è stato un mese molto caldo per quanto riguarda la cybersecurity. Soprattutto da quando l’Adaptive Mobile Security ha scoperto che è possibile ottenere informazioni dai dispositivi mobili semplicemente inviando un SMS, attacco denominato “Simjacker“:
…an attacker sends an inperceivable SMS message containing instructions for an older version of the S@T Browser app, which is currently supported on various cellular carrier’s SIM cards. The hacker can use these instructions to obtain location info and IMEI numbers which they can then send (using SMS) back to a malicious device that records the information.
Nel dettaglio, sempre secondo l’Adaptive Mobile, attraverso questo attacco è possibile:
- ottenere la posizione del dispositivo e l’IMEI, identificativo univoco del terminale;
- diffondere fake news o phishing inviando messaggi fasulli dai terminali delle vittime;
- utilizzare i terminali come agenti per la scansione di numerazioni a pagamento;
- spiare cosa sta accadendo, ordinando al telefono di effettuare una chiamata verso un certo numero;
- diffondere malware e infettare il dispositivo attraverso l’apertura di pagine web malevoli (Singapore SMS worm);
- effettuare attacchi DOS -Denial of Service- disabilitando la SIM card della vittima;
- ottenere altre informazioni, come la lingua, il livello di carica della batteria etc etc etc…
(maggiori dettagli sono disponibili nei documenti delle specifiche del 3GPP)
In pratica, attraverso l’invio di SMS speciali, gli smartphone vulnerabili diventano strumenti controllati da remoto, senza potersene rendere conto. Alcuni articoli parlano dell’uso di questa tecnica per spiare, più o meno legalmente, alcuni miliardi di cittadini in oltre 30 paesi…
Nel dettaglio tecnico, questa vulnerabilità utilizza una vecchia versione del SIMalliance Toolbox Browser, tuttavia ancora presente nelle SIM card (eSIM comprese) di svariati operatori di telefonia mobile in almeno 30 paesi del mondo (per chi se lo stesse chiedendo, le SIM card sono a tutti gli effetti una specie di micro-computer con memoria e relativo firmware).
“We have observed devices from nearly every manufacturer being successfully targeted to retrieve location: Apple, ZTE, Motorola, Samsung, Google, Huawei, and even IoT devices with SIM cards,”
“The only good news is that the attack doesn’t rely on regular SMS messages, but more complex binary code, delivered as an SMS, which means network operators should be able to configure their equipment to block such data traversing their networks and reaching client devices.”
Simjacker attack exploited in the wild to track users for at least two years, ZDnet
Dopo la diffusione della vulnerabilità, la SIM Alliance ha invitato tutti gli operatori ad aggiornare i propri sistemi e relative SIM, implementando anche sistemi di filtraggio di rete per bloccare “SMS binari illegittimi“.
Giusto per chiarire, al momento non ci sono testimonianze di questa vulnerabilità nel nostro Paese. Il che può far pensare bene, o male…