Эксперты из AdaptiveMobile Security нашли в SIM-картах серьёзную уязвимость. Хакеру достаточно отправить человеку SMS, чтобы отследить его местоположение и получить доступ к его данным.

Неназванный разработчик шпионского ПО, который сотрудничает с правительственными органами по всему миру, использует уязвимость уже больше двух лет. Атака, получившая название Simjacker, в основном предназначена для слежки за людьми, но также может использоваться для мошенничества, кражи данных и других неправомерных действий.

Уязвимость работает через специальный браузер S@T Browser, который входит в состав стандартного набора приложений на SIM-карте. Через него операторы предлагают абонентам дополнительные услуги — новости, голосовую почту и так далее.

Хакеру достаточно взять дешёвый GSM-модем и отправить жертве SMS со специальным кодом. Телефон передаст сообщение прямо на SIM-карту, даже не проверив его, и код будет исполнен через браузер. Пользователь об этом никак не узнает.

Принцип работы уязвимости в SIM-картах Simjacker
simjacker.com

S@T Browser уже устарел, но до сих пор используется операторами как минимум в 30 странах. Общее число потенциальных жертв превышает миллиард.

Эксперты рассказали об уязвимости «Ассоциации GSM» и SIMalliance — основным организациям, которые стремятся к повышению безопасности услуг мобильной связи. Они уже передали операторам инструкции по устранению проблемы.