Des pirates exploitent activement la faille 'Simjacker' pour voler des données de périphérique et espionner des individus

Des chercheurs en cybersécurité ont mis en garde contre une vulnérabilité critique des cartes SIM qui pourrait permettre à des attaquants distants de compromettre des téléphones mobiles ciblés et d'espionner des victimes à leur insu en envoyant simplement un SMS.

La société AdaptiveMobile Security basée à Dublin a déclaré que la faille – surnommé “Simjacker” – est activement exploité depuis au moins deux ans par un fournisseur de logiciels espions qui collabore avec les gouvernements pour rechercher des personnes. La firme n'a pas révélé le nom de la société ni les individus qui auraient pu être ciblés de cette façon.

Étant donné que l'attaque fonctionne sur toutes les plateformes, la vulnérabilité démontre la sophistication croissante des acteurs de la menace pour: saper la sécurité du réseau en tirant parti de technologies obscures.

«L’attaque consiste en un SMS contenant un type spécifique de code semblable à un logiciel espion envoyé à un téléphone portable, qui ordonne ensuite à la carte SIM du téléphone de« reprendre le contrôle ». sur votre téléphone portable pour récupérer et exécuter des commandes sensibles ", a déclaré AdaptiveMobile Security.

Les chercheurs ont divulgué la faille de manière responsable à la association GSM (GSMA) et SIMalliance les organisations gouvernantes surveillant la téléphonie mobile. des opérateurs du monde entier cherchant à améliorer la sécurité des services mobiles.

Qu’est-ce que S @ T?

La ​​vulnérabilité réside dans ce que l’on appelle le navigateur S @ T em intégré dans la SIM Application Toolkit (STK) largement utilisé par les opérateurs de téléphonie mobile GSM du monde entier pour fournir des services à valeur ajoutée aux clients.

S @ T – abréviation de SIMalliance Toolbox Browser – est un micro-navigateur (ou navigateur mobile) conçu pour être utilisé sur les appareils mobiles, en particulier sur les téléphones prenant en charge Wireless Application Protocol. (WAP), norme commune pour accéder à Internet depuis le début des années 2000.

Le navigateur, stocké sous la forme d'une application exécutable sur la carte SIM située à l'intérieur d'un téléphone portable GSM, offre aux fournisseurs de services mobiles un moyen interactif de les utilisateurs accèdent à des applications Web telles que la messagerie électronique, les cours des actions, les actualités et les titres sportifs.

Avec les navigateurs mobiles modernes tels que Chrome, Firefox et Safari, il est désormais capable de prendre en charge des pages Web HTML complètes, WAP – et par extension S @ T -.a été jugé en grande partie obsolète.

Mais AdaptiveMobile a déclaré avoir trouvé la technologie de navigateur S @ T active sur les opérateurs de téléphonie mobile dans au moins 30 pays, avec une population combinée supérieure à un milliard. Cela ne rend pas automatiquement tout le monde réceptif car il est fort possible que les opérateurs de téléphonie mobile n'utilisent plus de cartes SIM contenant le navigateur vulnérable S @ T.

Divulguer que les attaques ont lieu quotidiennement , les chercheurs ont également déclaré que quelques numéros de téléphone avaient été suivis cent fois sur une période de 7 jours, ce qui impliquait qu'ils étaient des cibles bien connues.

Comment fonctionne l'attaque?

À un niveau élevé, la vulnérabilité fonctionne selon exploitant un modem GSM – disponible au prix de 10 $ – pour envoyer des messages malveillants aux combinés qui utilisent toujours la fonctionnalité de navigateur S @ T afin de déclencher des commandes STK spécialement conçues.

Voici quelques commentaires de la GSMA. pic.twitter.com/itTNAXjGAH

– Joseph Cox (@josephfcox) Le 12 septembre 2019

Il n'a pas de données sur les pays qui ont été touchés. Les SMS ne sont pas du genre courant, mais une autre variante appelée SMS binaire utilisée pour diffuser des contenus riches tels que des sonneries, des paramètres de système téléphonique et des messages de texte push WAP .

. À la réception du SMS, l’appareil transmet aveuglément le message à la carte SIM sans se soucier de vérifier son origine. La carte SIM utilise ensuite le navigateur S @ T pour exécuter la commande, y compris en demandant des informations sur l’emplacement et sur l’appareil, telles que Numéros IMEI .

"Lors de l'attaque, l'utilisateur ignore totalement qu'il a reçu l'attaque, que les informations ont été récupérées et qu'elle a été correctement exfiltrée", ont déclaré les chercheurs.

détecté impliqué la récupération de mobile téléphones mobiles, le champ d'application de Simjacker s'est considérablement élargi pour «commettre de nombreux autres types d'attaques contre des particuliers et des opérateurs mobiles, telles que la fraude, les escroqueries, la fuite d'informations, le déni de service et l'espionnage."

SIMalliance, pour sa part, a a présenté de nouvelles recommandations aux opérateurs de téléphonie mobile pour renforcer la sécurité des messages push S @ T en filtrant ces SMS binaires illégitimes.

Comme le note ZDNet les attaques de Simjacker ont été théorisées au moins. Depuis 2011. Mais c’est la première fois qu’elles sont exploitées à l’aide de techniques complexes pour permettre la surveillance.

«Maintenant que cette vulnérabilité a été révélée, nous nous attendons à ce que les auteurs de cet exploit et d’autres acteurs malveillants essaient de transformer ces attaques en une autre. Cathal Mc Daid, responsable de la technologie chez AdaptiveMobile Security, a déclaré .