Vulnerabilità nelle SIM, 1 miliardo di utenti tracciati
Una vulnerabilità presente in 1 miliardo di schede SIM permetterebbe agli hacker di prendere il controllo dei telefoni e spiare tutto ciò che fa l'utente
Basta un SMS per spiare praticamente qualsiasi telefono cellulare dotato di scheda SIM, ma anche altri dispositivi con scheda telefonica. E qualcuno lo sta già facendo, per conto di Governi e forze di intelligence che hanno necessità di spiare persone specifiche.
È l’allarme lanciato dalla società di sicurezza AdaptiveMobile Security, che ha scoperto che circa un miliardo di schede SIM, di oltre vari operatori, in oltre trenta Paesi nel mondo, possono essere attaccate con il metodo ribattezzato “SimJacker“. Affinché SimJackerr entri in azione non è necessario installare alcuna app o collegarsi ad alcun sito infetto, scaricare virus, trojan o altri malware: a chi ci vuole spiare basta inviare un SMS, dopo tutte le nostre comunicazioni saranno tracciabili. L’utente non si accorge di nulla e, purtroppo, non ha un metodo reale per proteggersi efficacemente perché il problema dovrebbe essere risolto dagli operatori telefonici.
Come funziona SimJacker
Secondo quanto riportato da AdaptiveMobile Security l’attacco SimJacker non è neanche troppo difficile da mettere in atto: serve solo un modem GSM per inviare un SMS contenente, al suo interno, dei codici eseguibili. Questi codici vengono poi effettivamente eseguiti dal componente S@T Browser (SIM Application Toolkit, presente all’interno delle SIM della maggior parte degli operatori), dando il via all’infezione.
A questo punto l’hacker ha il controllo praticamente pieno dello smartphone attaccato: può leggere il codice IMEI, geolocalizzare il dispositivo, usarlo per inviare messaggi e, soprattutto, costringere il telefono attaccato a lanciare una chiamata verso il telefono dell’attaccante all’insaputa del legittimo proprietario dello smartphone. Tramite quest’ultimo comando, quindi, è possibile usare il telefono della vittima come strumento di spionaggio, ascoltando tutto quello che viene captato dal microfono.
Un miliardo di utenti a rischio: come difendersi
AdaptiveMobile Security è convinta che ci sia già almeno una società privata che sta usando, da almeno due anni, SimJacker per spiare un numero ristretto di utenti. Il mandante sarebbe uno o più Governi stranieri. La vulnerabilità riguarda almeno un miliardo di SIM sparse per il mondo e difendersi è quasi impossibile.
In teoria gli operatori telefonici potrebbero implementare soluzioni di sicurezza centralizzate, che impediscano ad un attacco esterno di essere efficace. Ma queste soluzioni ancora non sono state né decise, né applicate. Nel frattempo, l’utente potrebbe chiedere la sostituzione della SIM con una nuova scheda che non sia dotata del componente S@T Browser, ma non è detto che gli operatori siano preparati ad una evenienza del genere.
