Bild: AdaptiveMobile Säkerhet
Säkerhetsforskare har lämnat ut idag en SMS-baserad attack metod missbrukas i den verkliga världen av en övervakning av säljaren för att spåra och övervaka individer.
“Vi är ganska säkra på att denna bedrift har utvecklats av ett privat företag som arbetar med regeringar för att övervaka individer,” säkerhet forskare från AdaptiveMobile Säkerhet, sade i en rapport som släpptes idag.
“Vi tror att denna sårbarhet har utnyttjats för åtminstone de senaste 2 åren med en mycket sofistikerade hot som skådespelare i flera länder, främst för de ändamål för övervakning.”
Forskarna beskrev attacken som “ett stort hopp i komplexitet och finess” i förhållande till attacker tidigare sett över mobila nätverk och “en betydande upptrappning i arbetsgrupp och förmågor av attacker.”
Hur fungerar Simjacker
Simjacker börjar med att en angripare med hjälp av en smartphone, GSM-modem, eller någon A2P (ansökan-till-person) tjänst för att skicka ett SMS-meddelande till ett offer telefonnummer.
Dessa SMS-meddelanden innehåller dolda STK (SIM Toolkit) instruktioner som stöds av en enhet s S@T Browser, ett program som finns på SIM-kortet, snarare än telefonen.
S@T Webbläsare och STK instruktioner är en gammal teknik som stöds på vissa mobila nätverk och sina SIM-kort. De kan användas för att utlösa åtgärder på en enhet, som lanserar webbläsare, spela upp ljud eller visa popup-fönster. I den gamla ålder av mobila nätverk, operatörer används dessa protokoll för att skicka användare kampanjerbjudanden eller ge faktureringsinformation.
Men AdaptiveMobile sade Simjacker attacker det observerade missbrukat denna mekanism för att instruera ett offer telefoner att lämna över uppgifter läge och IMEI-koder, vilket SIM-kort som senare skulle skicka via ett SMS-meddelande till en enhet från tredje part, där en angripare skulle logga offrets läge.
Bild: AdaptiveMobile Säkerhet
För att göra saken värre, Simjacker attack är helt tyst. Offren inte ser några SMS-meddelanden i sina inkorgar eller mappen utkorgar. Detta gör att hotet aktörer att ständigt bombardera offer med SMS-meddelanden och hålla koll på sin plats när de rör sig genom dagen, veckan eller månaden.
Dessutom, eftersom Simjack utnyttjar en teknik som finns på SIM-kortet, attack fungerar även oberoende av användarens enhet typ.
“Vi har observerat enheter från nästan alla tillverkare att lyckas med riktade till hämtningsplatsen: Apple, ZTE, Motorola, Samsung, Google, Huawei, och till och med sakernas internet enheter med SIM-kort,” forskarna säger.
Den enda goda nyheten är att attacken inte förlita sig på vanliga SMS-meddelanden, men mer komplexa binär kod, levereras som ett SMS, vilket innebär att operatörer ska kunna konfigurera sin utrustning för att blockera sådana uppgifter som trafikerar deras nätverk och nå klientenheter.
Aktiv Simjacker attacker upptäcks
Eftersom AdaptiveMobile har inte delat namnet på det företag som utför dessa attacker, är det oklart om denna sårbarhet används för att spåra brottslingar eller terrorister, eller utnyttjas för att spåra oliktänkande, journalister, eller politiska motståndare.
Ändå, AdaptiveMobile sade Simjacker attacker sker på en daglig basis, i stort antal.
I de flesta fall, telefonnummer spåras ett par gånger om dagen, under långa perioder, snarare än flera gånger per dag.
Men forskarna säger att några telefonnummer som hade spårats hundra gånger under en 7-dagars period, vilket tyder på att de tillhörde högt värde mål.
Bild: AdaptiveMobile Säkerhet
“Dessa mönster och antalet spårning visar att det inte är en massa övervakning operation, men en som utformats för att spåra ett stort antal personer för en mängd olika syften, mål och prioriteringar skiftar över tid,” AdaptiveMobile forskarna säger.
Simjacker är resultatet av förbättringar till mobila nätverk
Mysteriet kvarstår om vem som har utvecklat denna attack, men AdaptiveMobile sade att det privata företaget var en expert på området.
“Liksom att producera detta spionprogram, samma företag har också stor tillgång till SS7 och Diameter core network, som vi har sett en del av samma Simjacker offer som är riktade hjälp av attacker över SS7 nätverk, med SS7 attack metoder används som fall-back-metoden när Simjacker attacker inte lyckas,” AdaptiveMobile sagt.
“Vi tror att Simjacker attack utvecklats som en direkt ersättning för de förmågor som var förlorat till mobila nätverk angriparna när operatörerna började säkra sina SS7 och Diameter infrastruktur,” forskarna säger.
Men medan attacker på SS7 och Diameter protokoll inblandade djup kunskap om mobila nätverk och protokoll dyra redskap, Simjacker attack är mycket enklare och billigare. Allt som krävs är en $10 GSM-modem och en offrets telefon, forskare säger.
Gamla protokoll
Sårbarheten i hjärtat av Simjacker attack borde ha varit enkelt förhindras om mobila operatörer skulle ha visat en viss återhållsamhet i vilken kod de sätter på sina SIM-kort.
“Detta S@T Webbläsare är inte kända, är ganska gammal, och dess ursprungliga syfte var att göra det möjligt sådana tjänster som att få ditt konto via SIM-kortet,” forskarna säger.
“Globalt, dess funktion har varit mestadels ersätts av annan teknik, och dess specifikation har inte uppdaterats sedan 2009, men precis som många äldre teknik är det fortfarande använts, medan resterande i bakgrunden.”
AdaptiveMobile sa att det har sett S@T Webbläsare teknik aktiv på nätet av operatörerna i minst 30 länder runt om i världen. Dessa länder, forskarna sade, har en sammanlagd befolkning på över en miljard, av vilka alla är utsatta för denna tysta övervakning metod. Enligt en källa som talade med ZDNet, de drabbade länderna i MENA-länderna (Mellanöstern och nordafrika) – regionen, samt några i Asien och Östra Europa.
Dessutom, den S@T Webbläsare teknik stöder mer än de kommandon som missbrukas av angriparna — nämligen de för att hämta platsinformation och IMEI-koder, och skicka ett SMS-meddelande.
Andra S@T Webbläsare som stöds kommandon som inkluderar möjligheten att ringa samtal, stäng av SIM-kort, kör PÅ modem kommandon, öppna webbläsare (med phishing-länkar eller på platser med exploit-kod), och mer.
AdaptiveMobile varnar för att denna teknik och detta attack kan vara användbara för mer än bara övervakning, och andra hot aktörer kan snart komma att missbruka det också. Till exempel, Simjacker kan också användas för felaktig information kampanjer (för att skicka SMS/MMS med falska innehåll), finansiella bedrägerier (uppringning av betalnummer), spioneri (initiera samtal och lyssna på närliggande samtal), och sabotage (genom att inaktivera ett mål SIM-kort), bland många andra.
I själva verket Simjacker attackerna är faktiskt inte ny. Det är bara som ett hot aktör hittat ett sätt att weaponize STK instruktioner. De har varit kända, åtminstone på den teoretiska nivån, sedan 2011, när rumänska säkerhet forskare Bogdan Alecu först beskrivs hur en skadlig skådespelare kunde missbruk STK kommandon för att prenumerera användare till premium-nummer [1, 2].
Den AdaptiveMobile forskargrupp kommer att diskutera och presentera mer på Simjacker attacker och sina resultat vid VirusBulletin 2019 säkerhet konferens som kommer att hållas i London i oktober detta år.
Uppdaterad klockan 1:00 ET med info om Alecu 2011 forskning på STK (SIM Toolkit) attacker. Titel uppdateras, så detta är faktiskt inte en “ny” – attack.
Säkerhet
Aktivera DNS-över-HTTPS (DoH) i Google Chrome
Vi samla in sociala media profiler från invandrare, asylsökande och flyktingar
600,000 GPS-trackers vänster exponeras på internet med standardlösenordet ‘123456’
Hur AI används för ansiktsigenkänning i övervakningskameror (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Hur att förhindra ett företagskonto Övertagande (TechRepublic)
Relaterade Ämnen:
Mobila OS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter