Un gravissimo bug colpisce le SIM di tutti gli smartphone: c'è chi lo sta già sfruttando

La vulnerabilità SimJacker delle SIM non risparmia nessuno: basta un SMS per colpire qualsiasi smartphone di qualsiasi produttore.
Lorenzo Delli
Lorenzo Delli Tech Master
Un gravissimo bug colpisce le SIM di tutti gli smartphone: c'è chi lo sta già sfruttando

Adaptive Mobile Security in queste ultime ore ha pubblicato il sito web SimJacker con l'obiettivo di segnalare questa nuova vulnerabilità, finora sconosciuta, relativa alle schede SIM, un componente presente in tutti gli smartphone che utilizziamo quotidianamente. Sarebbe sufficiente un SMS per compromettere qualsiasi smartphone, e il bello, si fa per dire, è che la vulnerabilità in questione potrebbe essere stata sfruttata per anni da eventuali hacker.

Scendiamo un po' più nel dettaglio. La vulnerabilità SimJacker è presente all'interno di un software denominato S@T Browser, "SIMalliance Toolbox" Browser, presente nelle schede SIM utilizzate da operatori telefonici di almeno 30 nazioni. Come accennato quindi la vulnerabilità in questione è sfruttabile su qualsiasi tipo di smartphone di qualsiasi produttore, in quanto colpisce un componente, la SIM, è universalmente utilizzato. Anche le eSIM sfruttano lo stesso software, pertanto la vulnerabilità affliggerebbe anche eventuali dispositivi dotati di SIM elettronica. Inoltre la vulnerabilità sfrutta una tecnologia integrata nelle schede SIM che non viene modificata dal 2009: oltre 1 miliardo di persone in tutto il mondo sarebbero quindi potenzialmente esposte, secondo i calcoli di Adaptive Mobile Security.

S@T Browser permette agli operatori telefonici di fornire varie tipologie di servizi agli utenti, quali ad esempio l'attivazione di abbonamenti e la visualizzazione di informazioni relative alla SIM stessa nei sotto menu dello smartphone. Grazie a S@T Browser è anche possibile compiere una serie di altre operazioni quali l'invio di messaggi brevi, configurazione delle chiamate, persino l'avvio di un browser e l'invio di dati. Sarebbe sufficiente inviare un SMS ad una determinata SIM per far sì che un eventuale hacker attivi codice malevolo sullo smartphone. E a quanto pare basta un semplice modem GSM del costo di pochi euro per inviare l'SMS che faccia da tramite.

Quali informazioni si potrebbero reperire tramite la vulnerabilità in questione? Posizione del dispositivo e IMEI, ma non finisce qui. Si potrebbe inviare messaggi falsi a nome dell'utente colpito, comporre numeri a tariffa maggiorata in modo da attivare servizi a pagamento; far aprire pagine web malevole dal broswer dello smartphone e di conseguenza anche scaricare malware; disabilitare la SIM e tanto altro.

Tutto ciò sarebbe completamente invisibile alla vittima. Da quanto riportato da Adaptive Mobile Security ci sarebbe un'azienda privata che negli ultimi due anni avrebbe lavorato con vari governi per sfruttare la vulnerabilità SimJacker per la sorveglianza mirata di utenti di varie nazioni. Non solo, sarebbero stati osservati attacchi concreti a danno di dispositivi di produttori quali Apple, Huawei, Google, Samsung, ZTE, Motorola e persino dispositivi IoT provvisti di schede SIM.

I dati relativi alla vulnerabilità saranno pubblicati ad ottobre ma ovviamente i ricercatori hanno già comunicato tutti i dettagli alla GSM Association e alla SIM Alliance. Quest'ultima ha riconosciuto il problema, fornendo varie raccomandazioni ai produttori di SIM. La soluzione sarebbe quella di implementare un sistema di sicurezza per la gestione dei messaggi S@T Push. Gli operatori telefonici potranno intervenire realizzando un apposito processo che analizzi e blocchi eventuali messaggi che contengano codice S@T Browser non autorizzato.