Un gravissimo bug colpisce le SIM di tutti gli smartphone: c’è chi lo sta già sfruttando

Lorenzo Delli - La vulnerabilità SimJacker delle SIM non risparmia nessuno: basta un SMS per colpire qualsiasi smartphone di qualsiasi produttore.

Adaptive Mobile Security in queste ultime ore ha pubblicato il sito web SimJacker con l’obiettivo di segnalare questa nuova vulnerabilità, finora sconosciuta, relativa alle schede SIM, un componente presente in tutti gli smartphone che utilizziamo quotidianamente. Sarebbe sufficiente un SMS per compromettere qualsiasi smartphone, e il bello, si fa per dire, è che la vulnerabilità in questione potrebbe essere stata sfruttata per anni da eventuali hacker.

Scendiamo un po’ più nel dettaglio. La vulnerabilità SimJacker è presente all’interno di un software denominato S@T Browser, “SIMalliance Toolbox” Browser, presente nelle schede SIM utilizzate da operatori telefonici di almeno 30 nazioni. Come accennato quindi la vulnerabilità in questione è sfruttabile su qualsiasi tipo di smartphone di qualsiasi produttore, in quanto colpisce un componente, la SIM, è universalmente utilizzato. Anche le eSIM sfruttano lo stesso software, pertanto la vulnerabilità affliggerebbe anche eventuali dispositivi dotati di SIM elettronica. Inoltre la vulnerabilità sfrutta una tecnologia integrata nelle schede SIM che non viene modificata dal 2009: oltre 1 miliardo di persone in tutto il mondo sarebbero quindi potenzialmente esposte, secondo i calcoli di Adaptive Mobile Security.

LEGGI ANCHE: Huawei potrebbe cedere le licenze relative al 5G per alleggerire il clima di tensione con l’occidente

S@T Browser permette agli operatori telefonici di fornire varie tipologie di servizi agli utenti, quali ad esempio l’attivazione di abbonamenti e la visualizzazione di informazioni relative alla SIM stessa nei sotto menu dello smartphone. Grazie a S@T Browser è anche possibile compiere una serie di altre operazioni quali l’invio di messaggi brevi, configurazione delle chiamate, persino l’avvio di un browser e l’invio di dati. Sarebbe sufficiente inviare un SMS ad una determinata SIM per far sì che un eventuale hacker attivi codice malevolo sullo smartphone. E a quanto pare basta un semplice modem GSM del costo di pochi euro per inviare l’SMS che faccia da tramite.

Quali informazioni si potrebbero reperire tramite la vulnerabilità in questione? Posizione del dispositivo e IMEI, ma non finisce qui. Si potrebbe inviare messaggi falsi a nome dell’utente colpito, comporre numeri a tariffa maggiorata in modo da attivare servizi a pagamento; far aprire pagine web malevole dal broswer dello smartphone e di conseguenza anche scaricare malware; disabilitare la SIM e tanto altro. Tutto ciò sarebbe completamente invisibile alla vittima. Da quanto riportato da Adaptive Mobile Security ci sarebbe un’azienda privata che negli ultimi due anni avrebbe lavorato con vari governi per sfruttare la vulnerabilità SimJacker per la sorveglianza mirata di utenti di varie nazioni. Non solo, sarebbero stati osservati attacchi concreti a danno di dispositivi di produttori quali Apple, Huawei, Google, Samsung, ZTE, Motorola e persino dispositivi IoT provvisti di schede SIM.

I dati relativi alla vulnerabilità saranno pubblicati ad ottobre ma ovviamente i ricercatori hanno già comunicato tutti i dettagli alla GSM Association e alla SIM Alliance. Quest’ultima ha riconosciuto il problema, fornendo varie raccomandazioni ai produttori di SIM. La soluzione sarebbe quella di implementare un sistema di sicurezza per la gestione dei messaggi S@T Push. Gli operatori telefonici potranno intervenire realizzando un apposito processo che analizzi e blocchi eventuali messaggi che contengano codice S@T Browser non autorizzato.

Via: DDayFonte: Adaptive Mobile Security
  • Dario Posillico

    Quindi l’unico modo per essere protetti è che l’operatore esegua dei “controlli” sugli SMS in entrata? Non si può fare nulla lato utente anche solo per mitigare il problema senza aspettare che l’operatore si allinei ed esegua questi controlli?

    • Se ho capito bene l’utente non può fare un bel niente.

      • almi05

        Possiamo togliere la SIM

    • Andrea__93

      dev’esserci un modo per fare qualcosa, almeno per chi ha il root..

      • skelektron

        Root o meno, l’utente non ha modo di modificare il software presente sulla sim, quantomeno non dal telefono

        • RiccardoC

          mi viene da dire: e ci mancherebbe… se no con gli smartphone si potrebbero taroccare a piacimento per ottenere più GB o che ne so

      • Dario Posillico

        Ma dato che si tratta di un bug della sim e non del telefono, ho paura di no… Ma magari si puo’ mitigare.

      • ILCONDOTTIERO

        Lasciare lo smartphone spento a casa e dedicarsi al tempo libero . Magari scopriamo un nuovo mondo la fuori.
        Il che ogni tanto non guasterebbe.

        • talme94

          Uso lo smartphone proprio per non avere a che fare con il mondo là fuori

        • Andrea__93

          e allora che cazzo ci fai in un blog di tecnologia? e soprattutto con cosa hai scritto questo commento?

          • ILCONDOTTIERO

            Ecco soffermati sul fatto che non hai capito nulla di quello che ho scritto . Poi se oggi hai la luna storta bevici sopra una buona birra che è meglio.

  • riky1979

    Sostituzione dell sim con una versione corretta? Costosissima operazione per gli operatori e dovrebbe garantire la sicurezza ma anche la retrocompatibilità, mi sa che non faranno nulla, più economico controllare gli sms.

  • ILCONDOTTIERO

    Torneremo ai tempi delle grotte con il bastone , li di sicuro a meno di trovare un orso non ti spia nessuno.

  • Danilo

    Non so voi, ma trovo difficile definire questa backdoor un bug non voluto 😅

  • Luca Viggiani

    Quando leggo notizie del genere sono sempre combattuto se credere che alla fine sono cose che non riguardano il comune cittadino oppure che sia tutto un gomblotto!!!! Alla fine mi sto convincendo sempre di più che la verità sta nel mezzo: ci tengono col guinzaglio luuuungo, come quello dei cani che si riavvolge. Finché non rompi le scatole, il sistema è fatto in modo che tu ti senta tutto sommato libero, ma appena esci dal seminato c’è sempre la possibilità di pigiare il bottone per riavvolgere il guinzaglio…

  • angegardien

    sanno anche quante volte andiamo in bagno,sono anni che siamo super controllati.siamo schiavi e non lo sappiamo,telefoni,televisori,ogni informazione e controllata.per dominarci meglio.massoni.

    • Belpaese ma non ci vivrei

      E ciononostante sei sul web e scrivi su MobileWorld?

    • Marko4646

      Quindi la tua vita è controllata, le decisioni che prendi non sono tue scelte ma ti vengono imposte? Nel mondo ci sono quasi 7 miliardi di persone, pensi veramente che qualcuno riesca a spiarmi tutti? E in Italia siamo più di 50 milioni, qualcuno spia SMS, telefonate, email, ecc ogni minuto?

      • Riccardo_Saettone

        Tu sottovaluti i POTERI FORTI 🙂

  • ZannaMax

    Confermo che è tutto vero. Non è per nulla bella sta cosa presente ormai da anni.

  • Ad occhio direi che iliad è immune: ricordate il claim, circa i servizi a pagamento attivabili via sms, “con noi tutto disattivo di default”? Sembra che proprio non supportino la funzionalità, non che sia disattiva, perché se provo ad aprire il menù dei servizi sim (cosa che, ovviamente, non avevo mai tentato, a che dovrebbe mai servire quel menù?) mi appare la scritta: “Nessun menù Strumenti SIM”. Ho provato la stessa sim anche su vecchi cellulari, stesso risultato: nessun menù esplorabile, nessuna funzione.
    Sarà sufficiente per non essere vulnerabili?

    • Riccardo_Saettone

      Purtroppo dubito che sia come tu ipotizzi, altrimenti Iliad, ma vale anche per qualsiasi altro operatore, se ne sarebbe già uscita con proclami in tal senso.
      Vuoi mettere a livello di marketing poter dire di essere immune a un bug di questo tipo.
      Pompato bene in modo da diffondere il panico tra gli utenti, può valere migliaia di nuove attivazioni, forse anche diverse decine di migliaia, se i giornali cominciano a farci i titoloni sopra, e appare su TG.
      Il fatto che stiano tutti zitti, e cerchino di far passare tutto sotto silenzio mi fa pensare che in realtà questo bug affligga tutti le SIM di tutti operatori e di conseguenza noi utenti.
      Ovviamente parlo per l’Italia, non so come stiano messi quelli esteri, se l’articolo e totalmente vero dubito che siano messi meglio.

  • auleia

    Matteo Flora spiega benissimo su YouTube