Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широкоуязвимости в протоколе, используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.
Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (, подробное) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.
По версии AdaptiveMobile Security, атака работает следующим образом: на телефон жертвы отправляется подготовленное SMS, которое задействует функциональность Browser. В нормальном режиме эта программа реализует систему меню для общения с оператором — для запроса баланса и тому подобного. Атакующие используют возможности этой программы для запроса IMEI и координат устройства по ближайшим базовым станциям. Данные в виде SMS отправляются злоумышленникам, причем владелец телефона не видит ни входящих, ни исходящих сообщений.
Browser можно считать устаревшей технологией из времен, когда мобильные телефоны еще не являлись смартфонами. Функциональность такого софта перекочевала в нативные приложения для Android и iOS, а спецификации ПО не обновлялись с 2009 года. Тем не менее, для обратной совместимости этот элемент по-прежнему встраивается в SIM-карты. Решение за оператором, но по грубым прикидкам авторов исследования, этот специализированный софт используется операторами в 30 странах с совокупным числом абонентов более миллиарда.
В AdaptiveMobile делают громкое заявление о первом случае вредоносного ПО, распространяемого через СМС. Не факт, что эксплуатацию возможностей кода на SIM-карте стоит называть именно так, но важны не термины, а тот факт, что геолокацией все не ограничивается. Такой метод атаки дает злоумышленникам доступ и к другим командам, которые инициируются программным кодом на SIM-карте и могут дальше передаваться в основную операционную систему телефона. Например, есть возможность проиграть мелодию, инициировать звонок, отправить произвольное SMS на произвольный номер, выполнить USSD-запрос и так далее. Не все функции можно задействовать без ведома пользователя. Так, исходящий звонок на некоторых телефонах потребует подтверждения.
Еще один важный момент заключается в том, что это активно эксплуатируемая уязвимость. Предположение исследователей заключается в том, что организатором атаки является частная организация, работающая на правительственные структуры. Оценивается и количество жертв: например, в одной из стран были зафиксированы атаки на 100–150 телефонных номеров, причем на некоторые из них поступают десятки запросов в неделю. Наряду с запросами через SMS, те же самые атакующие используют известные уязвимости в протоколе SS7.
Методы защиты от атаки подобного типа предполагают определенные действия оператора связи. Можно блокировать сами сообщения или деинсталлировать ПО с SIM-карты. Для абонента особых средств защиты пока не предлагается: особенность атаки в том, что она работает и на смартфонах, и на старых мобильниках, и на IoT-устройствах с GSM-модулем. Кроме того, исследователи намекают, что Browser может быть не единственным слабым звеном в коде SIM-карт.
Чуть менее сложная атака была описана на прошлой неделе специалистами компании Check Point (,). Проблемы с настройкой мобильного интернета на смартфоне или обычном телефоне уже давно в прошлом, но функциональность рассылки «настроек доступа к сети и для отправки MMS» сохранилась. Как выяснили исследователи, SMS с настройками могут отправлять не только операторы, но и вообще кто угодно. Технология работает не во всех случаях и требует подтверждения пользователя, но когда работает, для атаки также достаточно дешевого USB-модема. В результате злоумышленник может подменить адрес прокси-сервера оператора своим (а также настройки домашней страницы и даже сервер для синхронизации контактов) и перехватывать мобильный трафик жертвы.