Una vulnerabilidad descubierta en las tarjetas SIM móviles está siendo explotada activamente para rastrear las ubicaciones de los propietarios de teléfonos, interceptar llamadas y más, todo simplemente enviando un mensaje SMS a las víctimas, dicen los investigadores.
Los investigadores revelaron el jueves que lo que dijeron es una explotación generalizada y continua de una vulnerabilidad basada en la tarjeta SIM, denominada «SimJacker». La falla ha sido explotada durante los últimos dos años por «una compañía privada específica que trabaja con los gobiernos para monitorear a las personas, ”E impacta a varios operadores móviles, con el potencial de impactar a más de mil millones de usuarios de teléfonos móviles en todo el mundo, según los investigadores de AdaptiveMobile Security.
«Simjacker se ha explotado aún más para realizar muchos otros tipos de ataques contra individuos y operadores móviles, como fraude, llamadas fraudulentas, fuga de información, denegación de servicio y espionaje», dijeron los investigadores de AdaptiveMobile Security en una publicación que desglosó el ataque, publicado el jueves.
Dijeron que «observaron a los piratas informáticos variar sus ataques, probando muchas de estas hazañas adicionales. En teoría, todas las marcas y modelos de teléfonos móviles están abiertos a ataques, ya que la vulnerabilidad está vinculada a una tecnología integrada en las tarjetas SIM «.
El ataque proviene de una tecnología en tarjetas SIM llamada S @ T Browser (abreviatura de SIMalliance Toolbox Browser). Esta tecnología, que generalmente se usa para navegar a través de la tarjeta SIM, se puede usar para una variedad de funciones, como abrir navegadores en el teléfono, así como otras funciones como configurar llamadas, reproducir tonos de llamada y más.
Desde un alto nivel, los actores de amenazas pueden enviar mensajes a las víctimas que usan la funcionalidad del navegador S @ T para activar comandos proactivos que se envían al teléfono. El problema es que las tarjetas SIM afectadas que contienen la tecnología del navegador S @ T no comprueban el origen de los mensajes que usan el navegador S @ T, y también que las tarjetas SIM permiten la descarga de datos por SMS, dijeron los investigadores.
Estos mensajes contienen una serie de instrucciones SIM Toolkit (STK) y están diseñados específicamente para ser transmitidos a la tarjeta SIM dentro del dispositivo. Una vez que la tarjeta SIM recibe el SMS, utiliza la biblioteca del navegador S @ T como entorno de ejecución, donde puede activar la lógica en el teléfono, principalmente para solicitar la ubicación y la información específica del dispositivo (IMEI).
Las respuestas a estos comandos se envían desde el teléfono a la tarjeta SIM, donde se almacenan temporalmente. Una vez que se recupera la información relevante del teléfono, se envía otro comando proactivo al teléfono de la víctima para enviar un SMS con la información al teléfono del atacante.
«La información de ubicación de miles de dispositivos se obtuvo con el tiempo sin el conocimiento o el consentimiento de los usuarios de teléfonos móviles específicos», dijeron los investigadores. “Durante el ataque, el usuario desconoce por completo que recibió el ataque, que se recuperó información y que se extrajo con éxito. Sin embargo, el ataque Simjacker puede, y se ha extendido aún más para realizar tipos adicionales de ataques «.
Una vez que han enviado el mensaje, los atacantes pueden utilizar una variedad de ataques utilizando el navegador S @ T, que incluyen: seguimiento de ubicación, fraude, denegación de servicio, propagación de malware e interceptación de llamadas. Al usar el ataque, los actores malos también pueden ejecutar comandos como tocar un tono de llamada, enviar mensajes cortos, configurar llamadas y más.
Los investigadores dijeron que han visto muchos de estos ataques potenciales siendo probados y utilizados por el grupo atacante. Si bien no nombraron al grupo, dijeron: «Podemos decir con un alto grado de certeza, que la fuente es una gran compañía de vigilancia profesional, con habilidades muy sofisticadas tanto en señalización como en teléfonos».
Para mitigar el ataque, los usuarios pueden «investigar si tiene tarjetas SIM con tecnología de navegador S @ T implementadas en su red y, en caso afirmativo, si se pueden aplicar mecanismos de seguridad patentados específicos del navegador S @ T», dijeron los investigadores.
Otras recomendaciones incluyen:
- Determine si el equipo de red existente puede configurarse para filtrar mensajes SMS binarios de fuentes no autorizadas.
- Considere si los cortafuegos actuales son simplemente documentos ‘GSMA’ ‘conformes’. «Estos documentos de GSMA realmente solo deberían usarse como punto de partida para una protección más efectiva», según los investigadores.
- Revise la investigación en curso y la investigación que está haciendo sobre lo que se encuentra en su red.
Los investigadores dijeron que han presentado los detalles del exploit a la GSMA en términos de divulgación de vulnerabilidad y «continuarán investigando cómo funcionan los ataques, buscando otras variantes de los exploits de Simjacker y el uso de la vulnerabilidad».
Mientras que los investigadores dicen que el protocolo S @ T es utilizado por operadores móviles en al menos 30 países cuya población suma más de mil millones de personas, en un correo electrónico a Threatpost, la GSMA dice que la «vulnerabilidad potencial» afecta a una «pequeña minoría de SIM tarjetas «.
«Esta investigación considera específicamente las tarjetas SIM que hacen uso de una tecnología no utilizada por la mayoría de los operadores móviles, y requiere que el usuario reciba mensajes codificados especialmente que contengan comandos para la tarjeta SIM», dijo un portavoz de GSMA a Threatpost. «Se entiende que la vulnerabilidad potencial no es generalizada y se han desarrollado mitigaciones para que las redes móviles afectadas puedan implementarlas».
En el futuro, «la GSMA ha trabajado con los investigadores y la industria móvil para crear orientación para sus miembros sobre cómo identificar qué SIM están afectadas y las formas de bloquear estos mensajes maliciosos, y ha estado trabajando con los operadores miembros afectados para ayudar a implementar estos mitigaciones ”, dijo el portavoz de GSMA a Threatpost.
Otros hallazgos del exploit se presentarán en Virus Bulletin 2019 en octubre.
Fuente y redacción: Lindsey O’Donnell – threatpost.com
