SMS wystarczy, by cię szpiegować lub okraść. Simjacker to atak na kartę SIM
Specjaliści od dawna przypuszczali, że taki atak jak Simjacker jest możliwy. Wykorzystuje on SMS-y, by śledzić położenie telefonów, ale daje szersze możliwości. Ślady znalezione przez analityków sugerują, że był w użyciu przez przynajmniej dwa lata.
16.09.2019 | aktual.: 02.10.2019 15:58
Simjacker nie wykorzystuje luk w systemie telefonu. Kierunek ataku to SIM Application Toolkit (STK). To zestaw poleceń na karcie SIM, umożliwiający operatorom uruchamianie aplikacji. Dzięki STK działają aplikacje SIMExtra w T-Mobile, Plus Mega w Plusie czy Play w Play. By atak był możliwy, SIM musi mieć w swoim STK narzędzie S@T Browser. Warto zauważyć, że mówimy tu o dość starych rozwiązaniach i jest to inny wektor ataku, niż opisany tydzień temu.
Jak działa Simjacker?
Simjacker zaczyna się od SMS-a, wysłanego na numer telefonu ofiary. Wiadomość taka musi zawierać instrukcje STK, które zinterpretuje przeglądarka S@T. Wszystko będzie działo się na poziomie karty SIM, niezależnie od systemu operacyjnego. Simjacker zleca wysłanie SMS-em IMEI telefonu i położenia na wskazany numer. Dawniej telekomy wykorzystywały tę metodę do wysyłania abonentom ważnych informacji.
Simjacker jest całkowicie niewidoczny, więc ofiara nie wie, że jej telefon dostaje takie SMS-y i wysyła ważne informacje.
Kto za tym stoi?
Specjaliści z AdaptiveMobile Security są zdania, że Simjacker został przygotowany przez jedną firmę, prawdopodobnie na potrzeby rządu któregoś kraju. Nie ulega wątpliwości, że maczali w nim palce eksperci. Simjacker po mistrzowsku wykorzystuje możliwości sieci telekomunikacyjnych. Możliwość takiego ataku przewidywał analityk bezpieczeństwa Bogdan Alecu już w 2011 roku.
Celem Simjackera jest obserwowanie wybranych numerów telefonów. W większości przypadków informacje o położeniu były pobierane kilka razy dziennie przez dłuższy czas. Były też numery pytane o położenie co chwilę przez tydzień. Zależy to zapewne od wagi celu. Teoretycznie ten atak może być wykorzystany także do rozsyłania SMS-ów z fałszywymi informacjami, podsłuchu przez nawiązane połączenie telefoniczne albo korzystania z usług premium i okradania abonentów. Można też zdalnie wyłączyć kartę SIM w kluczowym momencie.
Atakowane są urządzenia praktycznie każdego producenta. Lokalizacja była skutecznie pobierana z telefonów Apple, ATE, Samsunga, Google, Huawei, Motoroli, a także urządzeń IoT z kartami SIM– czytamy w raporcie AdaptiveMobile Security
Eksperci nie podają nazwy firmy ani krajów, w których zaobserwowali działanie Simjackera. Nie można na razie określić, czy atak jest stosowany do walki z przestępczością zorganizowaną i terroryzmem, czy do monitorowania dziennikarzy, aktywistów lub przeciwników politycznych. Wiemy jedynie, że do przeprowadzenia takiego ataku wystarczy tani modem GSM z możliwością wysyłania SMS-ów.
Jak się bronić?
Przed takimi atakami teoretycznie obronić nas mogą telekomy. Ponieważ polecenie podania lokalizacji jest wysyłane zwykłym SMS-em z dołączonym kodem binarnym, operator mógłby próbować filtrować ten kod. To pozwoliłoby blokować SMS-y z poleceniami.
Ponadto operatorzy mogliby lepiej zadbać o to, jaki kod umieszczają na swoich kartach SIM i zrezygnować z przestarzałych rozwiązań. Przeglądarka S@T jest obecna na kartach SIM w 30 krajach, co daje łącznie ponad miliard osób podatnych na atak. Głównie są to kraje Bliskiego Wschodu, Afryki, Europy Wschodniej i Azji. Polska może być w tym gronie.
Nie ma żadnego potwierdzenia, aby którykolwiek z krajowych operatorów wciąż korzystał z technologii S@T, wymaganej do przeprowadzenia ataku. Play w jednej z informacji prasowych wprost zadeklarował, źe rzeczonej przeglądarki już nie używa, a jego abonenci są odporni na opisywany atak. Reszta telekomów póki co milczy. Niemniej ostatnie udokumentowane przypadki zastosowania komend S@T/STK sięgają bardzo zamierzchłych czasów i zapomnianych usług takich jak SIMextra (T-Mobile) czy Plus Mega (Plus), które w międzyczasie zostały przeniesione na nowszy, odporny na atak standard USAT, a później jeszcze 3G. Jeśli dzisiejsze karty SIM wykorzystują jakikolwiek zestaw komend abonenckich, to jest to USAT, nie S@T. Nie ma powodów do obaw.
Piotr Urbaniak
