Une vulnérabilité découverte dans les cartes SIM mobiles est activement exploitée pour suivre les emplacements des propriétaires de téléphones, intercepter les appels et plus encore – le tout simplement en envoyant un message SMS aux victimes, disent les chercheurs.
Les chercheurs ont révélé jeudi ce qu’ils ont dit est un exploit généralisé et continu d’une vulnérabilité basée sur la carte SIM, surnommé “SimJacker.” Le pépin a été exploité au cours des deux dernières années par «une entreprise privée spécifique qui travaille avec les gouvernements pour surveiller les individus», et a des impacts sur plusieurs opérateurs mobiles – avec le potentiel d’impact sur plus d’un milliard d’utilisateurs de téléphones mobiles dans le monde, selon par chercheurs avec AdaptiveMobile Security.
“Simjacker a été encore exploité pour effectuer de nombreux autres types d’attaques contre des individus et des opérateurs mobiles tels que la fraude, les appels frauduleux, fuitedion d’informations, le déni de service et l’espionnage”, ont déclaré les chercheurs avec AdaptiveMobile Security dans un post l’attaque, publiée jeudi.
Ils ont dit qu’ils “observé les pirates varient leurs attaques, tester un grand nombre de ces autres exploits. En théorie, toutes les marques et les modèles de téléphone mobile sont ouverts à l’attaque car la vulnérabilité est liée à une technologie intégrée sur les cartes SIM.”
L’attaque provient d’une technologie dans les cartes SIM appelée Navigateur S-T (abrébousclane pour SIMalliance Toolbox Browser). Cette technologie, qui est généralement utilisée pour la navigation à travers la carte SIM, peut être utilisée pour un éventail de fonctions telles que l’ouverture des navigateurs sur le téléphone ainsi que d’autres fonctions comme la mise en place d’appels, jouer aux sonneries et plus encore.
À partir d’un niveau élevé, les acteurs de la menace peuvent envoyer des messages aux victimes qui utilisent la fonctionnalité du navigateur S-T afin de déclencher des commandes proactives qui sont envoyées au combiné. Le problème est impacté cartes SIM qui contiennent la technologie de navigateur S-T ne vérifient pas l’origine des messages qui utilisent le navigateur S-T, et aussi que les cartes SIM permettent le téléchargement de données par SMS, les chercheurs ont dit.
Ces messages contiennent une série d’instructions SIM Toolkit (STK) et est spécialement conçu pour être transmis à la carte SIM dans l’appareil. Une fois que le SMS est reçu par la carte SIM, il utilise la bibliothèque du navigateur DeT comme un environnement d’exécution, où il peut déclencher la logique sur le combiné – principalement pour demander l’emplacement et des informations spécifiques de l’appareil (IMEI).
Les réponses à ces commandes sont renvoyées du combiné à la carte SIM, où elles sont stockées temporairement. Une fois que les informations pertinentes sont récupérées à partir du combiné, une autre commande proactive est envoyée au combiné de la victime pour envoyer un SMS avec les informations au combiné de l’attaquant.
« Les informations de localisation de milliers d’appareils ont été obtenues au fil du temps à l’insu ou sans le consentement des utilisateurs ciblés de téléphones mobiles », ont déclaré les chercheurs. “Pendant l’attaque, l’utilisateur ignore totalement qu’ils ont reçu l’attaque, que l’information a été récupérée, et qu’elle a été exfiltrée avec succès. Toutefois, l’attaque Simjacker peut, et a été étendu plus loin pour effectuer d’autres types d’attaques.”
Une fois qu’ils ont envoyé le message, les attaquants peuvent lunahc un tableau d’attaques en utilisant le navigateur S-T, y compris: suivi de localisation, fraude, déni de service, propagation de logiciels malveillants et l’interception d’appels. L’utilisation de l’attaque mauvais acteurs peuvent également lancer des commandes comme jouer une sonnerle, l’envoi de messages courts, la mise en place d’appels, et plus encore.
Les chercheurs ont dit qu’ils ont vu un grand nombre de ces attaques potentielles testées et utilisées par le groupe d’attaquants. Bien qu’ils n’aient pas nommé le groupe, ils ont dit: «Nous pouvons dire avec un degré élevé de certitude, que la source est une grande société de surveillance professionnelle, avec des capacités très sophistiquées à la fois dans la signalisation et les combinés.”
Pour atténuer l’attaque, les utilisateurs peuvent « enquêter si vous avez des cartes SIM avec la technologie s’T Browser déployée dans votre réseau et si oui si des mécanismes de sécurité propriétaires spécifiques au navigateur peuvent être appliqués », ont expliqué les chercheurs.
Voici d’autres recommandations :
- Déterminez si l’équipement réseau existant peut être configuré pour filtrer les messages SMS binaires provenant de sources non autorisées.
- Considérez si les pare-feu actuels ne sont que le document GSMA ‘conforme’. « Ces documents de la GSMA ne devraient vraiment servir que de point de départ pour une protection plus efficace », selon les chercheurs.
- Examinez l’enquête et la recherche en cours que vous faites sur ce qui se rencontre dans votre réseau.
Les chercheurs ont déclaré qu’ils ont soumis les détails de l’exploit à la GSMA en termes de divulgation de vulnérabilité, et “continuera à rechercher comment les attaques fonctionnent, chercher d’autres variantes des exploits Simjacker et l’utilisation de la vulnérabilité.”
Alors que les chercheurs affirment que le protocole S-T est utilisé par les opérateurs mobiles dans au moins 30 pays dont la population s’ajoute à plus d’un milliard de personnes, dans un courriel à Threatpost, la GSMA que la «vulnérabilité potentielle» a un impact sur une «petite minorité de cartes SIM.
“Cette recherche examine spécifiquement les cartes SIM qui font usage d’une technologie non utilisée par la plupart des opérateurs mobiles, et exige qu’un utilisateur soit envoyé des messages spécialement codés contenant des commandes pour la carte SIM”, a déclaré un porte-parole de la GSMA à Threatpost. « La vulnérabilité potentielle est considérée comme n’est pas répandue et des mesures d’atténuation ont été mises au point pour que les réseaux mobiles concernés soient mis en œuvre. »
Pour aller de l’avant, « la GSMA a travaillé avec les chercheurs et l’industrie mobile pour créer des conseils à l’intention de ses membres sur la façon d’identifier les cartes SIM qui sont touchées et les moyens de bloquer ces messages malveillants, et a travaillé avec les opérateurs membres touchés pour aider à mettre en œuvre ces mesures d’atténuation », a déclaré le porte-parole de la GSMA à Threatpost.
