Zranitelnost v 1 miliardě SIM karet by hackerům umožnila převzít kontrolu nad telefony a špehovat vše, co uživatel dělá
K špehování prakticky jakéhokoli mobilního telefonu se SIM kartou, ale i dalších zařízení s telefonní kartou, stačí textová zpráva. A někdo to už dělá, a to na objednávku vlád a zpravodajských služeb, které potřebují špehovat konkrétní lidi.
Toto je poplašná zpráva bezpečnostní společnosti AdaptiveMobile Security, která zjistila, že metodou nazvanou "SimJacker" lze napadnout přibližně miliardu SIM karet od více než několika operátorů ve více než třiceti zemích světa. K tomu, aby SimJackerr začal jednat, není třeba instalovat žádné aplikace ani se připojovat k infikovaným webům, stahovat viry, trojské koně nebo jiný malware: stačí poslat SMS někomu, kdo vás chce špehovat, a veškerá vaše komunikace bude sledovatelná. Uživatel si ničeho nevšimne a bohužel nemá reálnou možnost, jak se účinně chránit, protože problém mají řešit telefonní operátoři.
Jak SimJacker funguje
Podle společnosti AdaptiveMobile Security není ani útok SimJacker příliš obtížný: stačí mít GSM modem a odeslat SMS obsahující spustitelný kód. Tyto kódy pak skutečně spustí komponenta S@T Browser (SIM Application Toolkit, přítomná uvnitř SIM karet většiny operátorů), čímž spustí infekci.
V tomto okamžiku má hacker prakticky plnou kontrolu nad napadeným smartphonem: může přečíst kód IMEI, geolokaci zařízení, použít jej k odesílání zpráv a především přinutit napadený telefon, aby bez vědomí legitimního majitele smartphonu zahájil hovor na telefon útočníka.
Miliarda uživatelů v ohrožení: jak se bránit
AdaptiveMobile Security je přesvědčena, že již nejméně dva roky existuje nejméně jedna soukromá společnost, která používá SimJacker ke špehování malého počtu uživatelů. Podněcovatelem je údajně jedna nebo více zahraničních vlád. Zranitelnost se týká nejméně miliardy SIM karet po celém světě a jejich obrana je téměř nemožná.
Teoreticky by telefonní operátoři mohli zavést centralizovaná bezpečnostní řešení, která by zabránila účinnému útoku zvenčí. O těchto řešeních však dosud nebylo rozhodnuto ani nebyla realizována. Do té doby může uživatel požádat o výměnu SIM karty za novou, která není vybavena komponentou S@T Browser, ale operátoři na takovou možnost nejsou nutně připraveni.