Новая критическая уязвимость позволяет взломать смартфон при помощи СИМ-карты

На страницах нашего сайта мы уже неоднократно писали о различных рода вирусах, «дырах» в системе безопасности и о том, как с ними справиться. И если раньше все подобные сообщения касались, по большей части, приложений и разного рода программного обеспечения, то новая уязвимость, обнаруженная командой AdaptiveMobile Security, куда страшнее. Она работает благодаря эксплойту, использующему ресурсы СИМ-карты и позволяет получить нарушителям доступ к массе параметров смартфона.

Оказывается, что взломать смартфон можно и посредством обычной СИМ-карты

Как взломать смартфон при помощи SIM-карты

Обнаруженный эксплойт получил название Simjacker и он работает посредством доступа к среде SIMalliance Toolbox Browser (S@T Browser). Если объяснить простыми словами, то S@T Browser используется для работы СИМ-карт и входит в состав SIM Tool Kit (STK), среды для настройки работы карточек. Причем если вы думаете, что обезопасить себя можно, перейдя с обычной СИМ-карты на eSIM, то вы ошибаетесь. SIM Tool Kit используется и при разработке eSIM для того, чтобы обеспечить единую «среду» функционирования СИМ-карт обоих видов и во избежание несовместимости компонентов. Зато СИМ-карта не нужна для того, чтобы подписаться на наш Телеграм-канал. Он доступен с любых устройств, подключенных к интернету.

Это интересно: Новая функция Android 10 — находка для шпиона

Правда, поддаваться панике прямо сейчас не стоит. Simjacker работает посредством команд, отправляемых на устройство в виде СМС-сообщений. Поэтому, если вы не получали или не читали подозрительные сообщения с неизвестных номеров, то пока-что вы можете не переживать. Тем не менее, Simjacker позволяет узнать злоумышленникам целый рад параметров: IMEI смартфона, его фактическое местонахождение, язык системы устройства и уровень заряда батареи. Но и это еще не все. После запуска работы Simjacker, хакеры могут отправлять сообщения и совершать звонки, а также загружать вредоносные программы через посещение веб-страниц в браузере.

Сообщения содержат скрытый пакет инструкций Sim Toolkit, который взаимодействует с браузером S@T. Это приложение, находящееся на SIM-карте, а не на самом телефоне. Таким образом, ни одна из существующих программ по обеспечению безопасности Android или iOS не может блокировать атаку. — заявил Райан Уитвэм, специалист по системе безопасности, в своем сообщении на портале ExtremeTech.

Согласно сообщениям специалистов, уязвимость не зависит от софта самого устройства. Все дело в СИМ-карте и даже смартфоны самых крупных игроков рынка мобильной техники вроде Apple, Samsung, Google и Huawei не застрахованы от возможных атак.

Схема работы эксплойта

Что сделать, чтобы обезопасить себя?

Сейчас данных о том, что делать с обнаруженной угрозой нет, но группа AdaptiveMobile Security, обнаружившая SimJacker, сообщила о результатах своей работы компаниям GSM Аssociation (GSMA) и SIMalliance, потому что эти две ассоциации имеют отношение к более, чем 80% рынка производимых СИМ-карт. Всю информацию о SimJacker эксперты в области системы безопасности обещают раскрыть в октябре 2019 года после тщательного расследования. Но уже сейчас специалисты призывают производителей модифицировать принципы работы СИМ-карт, которые устарели и не меняли свою спецификацию с 2009 года.

Теги
Лонгриды для вас
Обзвон
Как мошенники и спамеры находят ваш номер и как этого избежать

Уж не знаю, чем я вызвал такой интерес у тех, кто пытается меня обмануть, представляясь сотрудниками одного крупного банка, но, видимо, они не теряют надежду. Интересно, что за последний месяц от имени этого банка мне позвонили 6 или 7 раз. Сначала мне было забавно и я даже иногда троллил звонящих, пока они не понимали этого, потом просто клал трубку и даже говорил, что не надо мне так часто звонить. Конечно, я понимаю, что им нет дела до такой мелочи, как повторы, а то и вовсе это звонят разные ”компании”, но это не может не напрягать. Вполне возможно, что у вас примерно такие же отношения с этими ребятами. Обзвоны по любому поводу в последнее время участились, а значит, схема работает. Вот только откуда у них данные о нас и как вообще можно с ними бороться.

Читать далее
Google Play
Google сделает Android более безопасным. Первый шаг уже сделан

Любая операционная система оценивается не только с точки зрения комфорта и функциональности, но и с точки зрения безопасности. Особенно это актуально для смартфонов, где у каждой операционной системы есть свой магазин приложений и надо сделать так, чтобы пользователям не нужно было задумываться о том, что они скачивают. Многие согласятся с тем, что приложения для Android можно было бы модерировать получше. Вот только одно дело говорить и совсем другое - принимать меры. На этот раз Google действительно начала предпринимать важные шаги на пути к существенно большей безопасности своей операционной системы.

Читать далее
Разрешения Android
Как узнать, какие приложения на Android используют микрофон, камеру, интернет

Мы зачастую не уделяем должного внимания приложениям, которыми пользуемся. Понятное дело, что большинство из нас не скачивают что попало, а выбирают только то, что нужно. Но это не отменяет того факта, что приложения – независимо от того, насколько мы им доверяем – могут представлять опасность. Нет, я сейчас не говорю о майнинге криптовалюты или воровстве денег с ваших банковских счетов. Я говорю о слежке, которую приложения могут устанавливать без вашего ведома. Ну, как без вашего… На самом деле с вашего, просто вы, как правило, об этом не подозреваете.

Читать далее
Новый комментарий