Il temibile Simjacker

C'è un intruso che riesce a violare qualsiasi piattaforma, il suo nome è Simjacker ed è stato individuato dal team di AdaptiveMobile Security, una società di sicurezza di cyber-telecom con sede a Dublino.

I ricercatori hanno scoperto che la vulnerabilità è legata a una tecnologia integrata nelle schede SIM. Gli hacker hanno confermato che stavano sfruttando un difetto al fine di tracciare le posizioni dei telefoni cellulari. I ricercatori hanno fatto sapere che era anche possibile, oltre a tracciare, che potessero effettuare altri tipi di violazioni.

L'azienda ha detto che Simjacker è stata "ulteriormente sfruttata per eseguire molti altri tipi di attacchi contro individui e operatori mobili come frodi, chiamate truffa, furto di informazioni, negazione del servizio e spionaggio".

Il nome Simjacker deriva dalla scoperta che questo temibile malware riesce a dirottare le carte SIM e a minacciare gli utenti di telefonia mobile. Le informazioni degli utenti sono estratte da Operatori di telefonia vulnerabili e recuperate con l'uso di messaggi SMS.

L’AdaptiveMobile Security ritiene probabile che "questi attacchi provengano da una società di sorveglianza che lavora con i governi, per tracciare e monitorare gli individui, bypassando la protezione di segnalazione esistente". Cathal Mc Daid, il CTO dell'azienda, considera Simjacker come un serio pericolo e "potenzialmente l'attacco più sofisticato mai visto sulle principali reti mobili". Goodin di Ars Technica ha riferito di aver osservato il difetto di numerosi marchi di apparecchi di produttori che sono stati presi di mira con successo, ad esempio Apple, ZTE, Motorola, Samsung, Google e Huawei. Ryan Whitwam, ExtremeTech, afferma però: "....i messaggi includono un pacchetto di istruzioni nascoste del Sim Toolkit che interagisce con il browser S@T. Questa è un'applicazione che risiede sulla scheda SIM all'interno di molti telefoni, non sul telefono stesso. Pertanto, nessuna delle caratteristiche di sicurezza di Android o iOS può bloccare l'attacco".

I ricercatori hanno rivelato il difetto all'associazione GSM (GSMA) e SIMalliance in quanto i due controllano gli operatori di telefonia mobile e vogliono migliorare la sicurezza dei servizi mobili.

Il sito GSMA ha di conseguenza dichiarato: "Il nostro scopo è quello di analizzare il panorama delle minacce del settore e fornire informazioni che consentano ai nostri membri di proteggere l'ecosistema mobile". Il sito dell'alleanza SIM ha invece comunicato: "I membri SIMalliance rappresentano l'80% del mercato globale delle carte SIM, come tali sono responsabili della fornitura della piattaforma di distribuzione di applicazioni sicure più diffuse al mondo (UICC/SIM/USIM/USIM)".

Dan Guido, esperto di sicurezza mobile e CEO della società di sicurezza Trail of Bits, ha rincarato la dose: "Molto male, questo attacco è onnipresente sulla piattaforma, colpisce quasi tutti i telefoni, e non c'è nessuno tranne il vostro operatore di telefonia mobile che può farci niente". Goodin ha poi concluso: "Fino a quando i vettori implementeranno le raccomandazioni della SIMalliance, gli hacker avranno un'altra tecnica furtiva che in precedenza è stata trascurata".

Ecco le raccomandazioni del gruppo: "La SIMalliance raccomanda di implementare la sicurezza per i messaggi S@T push che può essere introdotta a due diversi livelli:

1.      Rete, è possibile implementare dei filtri per intercettare e bloccare i messaggi SMS binari illegittimi

2.      Scheda SIM, il livello minimo di sicurezza MSL collegato al browser S@T in modalità push può forzare la Crittografia Checksum + Crittografia (MSL = 0x06 almeno). In tali casi in cui la riproduzione di messaggi legittimi potrebbe portare ad effetti indesiderati, MSL con Cryptographic Checksum + Encryption e antireplay. Si raccomanda il contatore (es. 0x16)".

"SIMalliance, da parte sua, ha lanciato nuove raccomandazioni ai portatori di cellulari", ha detto Ravie Lakshmanan in TNW, "per implementare una maggiore sicurezza per i messaggi S@T push filtrando tali illegittimi SMS binari".

Ora che questa vulnerabilità è stata rivelata, temiamo che gli autori degli exploit e altri attori malevoli cercheranno di estendere questi attacchi ad altre aree", ha detto McDaid nel comunicato stampa.

Cathal Mc Daid presenterà su Simjacker alla Virus Bulletin Conference di Londra il mese prossimo, l'evento sarà incentrato sia sulle informazioni che sulle minacce.