SIMjacker, ecco cosa ci insegna l'ultima grave falla dei dispositivi mobile

E’ sfruttata da almeno due anni per spiare singoli individui, e affligge pressoché tutti i dispositivi che usano una scheda SIM. Una falla grave, per cui l’utente finale non può fare praticamente nulla

E’ stata scoperta nei giorni scorsi dalla società di sicurezza AdaptiveMobile Security, e si tratta di una minaccia davvero grave per il mondo dei telefoni cellulari e non solo.

Si tratta di Simjacker, una tecnica di attacco che permette, di fatto, di prendere controllo di un telefono cellulare inviando semplicemente un SMS.

La tecnica sfrutta un’interfaccia di comunicazione che in origine è stata pensata per essere utilizzata dagli operatori di rete per comunicare direttamente con le SIM dei clienti ed erogare servizi specifici o a valore aggiunto, come ad esempio il credito residuo dell’utenza.

Il problema è che tramite questa interfaccia di comunicazione l’attaccante può compiere svariate azioni sul telefono e con il telefono della vittima, come effettuare chiamate, inviare messaggi e molto altro.

Simjacker, una minaccia davvero grave

Perché abbiamo parlato di “minaccia grave”?

E’ presto detto: la tecnica Simjacker può essere sfruttata con successo contro un gran numero di dispositivi connessi: non solo telefonini e smartphone, ma anche dispositivi IoT che prevedono la presenza di una SIM card al loro interno.

Si tratta di un attacco “platform-agnostic” (cioè che non dipende da un tipo di hardware o software specifico) e non c’è praticamente nulla che l’utente possa fare per mettersi al riparo e per di più l’attacco è, come vedremo poco oltre, completamente trasparente all’utente che non può in alcun modo accorgersi di essere divenuto un bersaglio.

AdaptiveMobile Security ritiene che questa tecnica venga usata da almeno due anni da un attore “particolarmente sofisticato”, in svariati Paesi e a scopo di sorveglianza, probabilmente con la collaborazione di realtà governative.

Non si tratterebbe, tuttavia, di una campagna di sorveglianza di massa, quanto più di una azione volta al pedinamento/spionaggio di un alto numero di individui di un qualche interesse particolare.

Secondo quanto afferma la società di sicurezza, infatti, la maggior parte dei casi in cui la tecnica è stata utilizzata è solamente a scopo di tracciamento della posizione geografica del dispositivo, con la trasmissione del codice IMEI univoco.

Come funziona la tecnica Simjacker

Il principio su cui si basa questa tecnica è abbastanza semplice (anche se la sua attuazione pratica richiede una serie di conoscenze approfondite, motivo per cui i ricercatori di sicurezza hanno ragione di ritenere che dietro Simjacker vi sia un gruppo particolarmente sofisticato): è sufficiente infatti inviare un SMS.

Appositamente formattato e contenente precise istruzioni, perché si possa aprire un canale di comunicazione diretto con la SIM card, la quale risponderà al messaggio inviando il codice IMEI e la localizzazione relativa alla cella a cui si è connessi.

Durante l’attacco l’utente, come già detto, non è in grado di notare alcuna anomalia perché non vi è alcuna traccia degli SMS inviati e ricevuti, nemmeno nel registro dei messaggi.

A rendere possibile l’attacco è il software [email protected] Browser – contrazione di SIMalliance Toolbox Browser – che è stato definito dalla SIM Alliance e viene installato su un’ampia varietà di SIM Card (più precisamente sull’Universal Integrated Circuit Card) incluse le eSIM.

Si tratta di un piccolo software, non molto conosciuto e ormai con qualche anno sulle spalle (non viene aggiornato dal 2009), il cui scopo originario era, come detto, quello dell’erogazione di servizi specifici all’utenza da parte degli operatori di rete.

Sebbene le sue funzioni siano state per lo più sostituite da tecnologie più recenti, esso è ancora in funzione dietro le quinte come accade per moltissime tecnologie legacy. AdaptiveMobile Security ha osservato che il [email protected] Browser è utilizzato da operatori di rete mobile di almeno 30 paesi, interessando in questo modo un complessivo di oltre un miliardo di individui.

E’ tuttavia verosimile supporre che anche altri operatori sfruttino ancora questo software per altre SIM card specifiche.

I ricercatori affermano che nel periodo di osservazione hanno riscontrato come al giorno vengano effettuati attacchi Simjacker principalmente a scopo di tracciamento verso 100-150 individui, con punte fino a 300.

E’ stata riscontrata però un’alta variabilità nel numero e nella frequenza degli attacchi, con un modello che fa supporre un’attività di sorveglianza specifica, seppur applicata ad un ampio numero di individui, ma non di massa e con obiettivi e priorità che mutano nel tempo.

Simjacker è il primo caso di Malware-SMS

Sebbene Simjacker sia stata utilizzata – almeno secondo quanto emerge dalle informazioni divulgate da AdaptiveMobile Security – per lo più a scopo di tracciamento, la tecnica permetterebbe in realtà di prendere controllo in maniera più o meno profonda del dispositivo preso di mira.

Ecco i comandi che è possibile eseguire sfruttando Simjacker:

  • PLAY TONE
  • SEND SHORT MESSAGE
  • SET UP CALL
  • SEND USSD
  • SEND SS
  • PROVIDE LOCAL INFORMATION (including location, battery, network, and language)
  • POWER OFF CARD
  • RUN AT COMMAND
  • SEND DTMF COMMAND
  • LAUNCH BROWSER
  • OPEN CHANNEL (CS BEARER, DATA SERVICE BEARER, LOCAL BEARER, UICC SERVER MODE, etc.)
  • SEND DATA
  • GET SERVICE INFORMATION
  • SUBMIT MULTIMEDIA MESSAGE
  • GEOGRAPHICAL LOCATION REQUEST

Si sono dimostrati vulnerabili i dispositivi di pressoché qualsiasi produttore, proprio perché la tecnica non è legata ad una specifica piattaforma: i ricercatori citano a titolo di esempio Apple, Samsung, Google, Huawei, Motorola, ZTE e coloro i quali, come già accennato, realizzano dispositivi IoT che contengono SIM Card.

Alcuni attacchi di base (come ad esempio l’invio del codice IMEI e la localizzazione geografica) funzionano indistintamente su tutti i dispositivi, mentre altri (ad esempio l’avvio di una chiamata) funzionano solamente sui dispositivi che non richiedono esplicita conferma da parte dell’utente.

La tecnica Simjacker rappresenta inoltre un caso unico nel panorama degli attacchi informatici contro SIM Card e telefoni cellulari, poiché può essere a tutti gli effetti classificabile come malware (spyware, nello specifico).

Un malware infatti non è altro che un software “cattivo”, e un software a sua volta non è altro che un elenco di istruzioni.

Il fatto che Simjacker impartisca esattamente un elenco di istruzioni, lo rende di fatto il primo caso reale di malware/spyware veicolato direttamente tramite SMS.

In tutti i casi precedenti l’invio di malware tramite SMS prevedeva sempre l’invio di un link, non del software dannoso integrato nel messaggio.

Cosa possiamo imparare?

AdaptiveMobile Security ha già provveduto a comunicare alla GSM Association (l’organizzazione che rappresenta gli operatori di rete mobile) l’esistenza della vulnerabilità, che è ora gestita tramite il programma GSMA CVD che prevede la condivisione delle informazioni nella comunità mobile.

Diretta conseguenza è stata la condivisione delle informazioni con la SIM Alliance (che rappresenta i principali produttori di SIM Card e UICC), la quale ha emesso nuove raccomandazioni di sicurezza per quanto riguarda [email protected] Browser.

La palla, a questo punto, è in mano agli operatori di rete i quali dovrebbero controllare e bloccare messaggi sospetti che contengono comandi rivolti al [email protected] Browser e che dovrebbero sfruttare la possibilità di modificare le impostazioni di sicurezza delle SIM Card/UICC da remoto, se non addirittura disattivare completamente la tecnologia [email protected] Broswer (che come abbiamo detto è ormai superata da tecnologie più recenti).

Ma in ogni caso si tratta di primi passi, poiché da questo episodio è necessario trarre un modo completamente nuovo di considerare la sicurezza delle reti di comunicazione mobile.

Non ci stancheremo mai di ripetere un concetto chiave: la sicurezza non è un prodotto ma un processo.

Lo abbiamo sottolineato in molte altre occasioni e continueremo a farlo come un disco rotto.

La sicurezza è un processo la cui robustezza è pari a quella dell’anello più debole della sua catena.

Sebbene spesso l’anello più debole sia l’utente finale (che viene bersagliato in molti modi, tutti frutto delle più sofisticate e raffinate tecniche di ingegneria sociale), talvolta accade, come nel caso di Simjacker, che l’anello debole della catena sia totalmente al di fuori del dominio dell’utente finale.

E’ per questo motivo che l’approccio security by design deve essere la priorità chiave nel mondo dello sviluppo tecnologico: pensare prima alla sicurezza di un sistema (che sia una tecnologia, un software o un dispositivo), al fatto che sia intrinsecamente robusto e resistente alle minacce, e in seguito alle sue funzionalità.

Invertire l’ordine (come è stato fatto negli anni passati in moltissime delle tecnologie e dei dispositivi che usiamo oggi e come la vulnerabilità di [email protected] Browser dimostra) è sconsiderato e pericoloso specie in una realtà in cui la connessione ad una rete sta diventando un presupposto fondamentale per ogni cosa.

Appare quindi ancor più evidente come affrontare adeguatamente il problema della sicurezza informatica si debba tradurre in un grande sforzo collaborativo da parte di tutti gli attori coinvolti (imprese, pubblico, privato, ricerca) che concorrano a costruire un ecosistema composto di conoscenze, competenze, soluzioni, procedure che portino ad una gestione del rischio continuativa ed efficace, in grado di adattarsi sempre più prontamente alle mutevoli condizioni del mondo.

Consapevolezza anzitutto: prefigurare i rischi e le minacce che possono abbattersi su una tecnologia, dispositivo, piattaforma, azienda, utente. La consapevolezza è l’antidoto alla vulnerabilità.

Fonte: https://www.hwupgrade.it/

Categorie: AndroidIOSNews

0 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Translate site »