Security Week 38: слежка за мобильными устройствами через SIM-карту

Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широко обсуждаются ^[1] уязвимости в протоколе SS7 ^[2], используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.

Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (новость ^[3], подробное описание ^[4]) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как S@T Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.

По версии AdaptiveMobile Security, атака работает следующим образом: на телефон жертвы отправляется подготовленное SMS, которое задействует функциональность S@T Browser. В нормальном режиме эта программа реализует систему меню для общения с оператором — для запроса баланса и тому подобного. Атакующие используют возможности этой программы для запроса IMEI и координат устройства по ближайшим базовым станциям. Данные в виде SMS отправляются злоумышленникам, причем владелец телефона не видит ни входящих, ни исходящих сообщений.

S@T Browser можно считать устаревшей технологией из времен, когда мобильные телефоны еще не являлись смартфонами. Функциональность такого софта перекочевала в нативные приложения для Android и iOS, а спецификации ПО не обновлялись с 2009 года. Тем не менее, для обратной совместимости этот элемент по-прежнему встраивается в SIM-карты. Решение за оператором, но по грубым прикидкам авторов исследования, этот специализированный софт используется операторами в 30 странах с совокупным числом абонентов более миллиарда.

В AdaptiveMobile делают громкое заявление о первом случае вредоносного ПО, распространяемого через СМС. Не факт, что эксплуатацию возможностей кода на SIM-карте стоит называть именно так, но важны не термины, а тот факт, что геолокацией все не ограничивается. Такой метод атаки дает злоумышленникам доступ и к другим командам, которые инициируются программным кодом на SIM-карте и могут дальше передаваться в основную операционную систему телефона. Например, есть возможность проиграть мелодию, инициировать звонок, отправить произвольное SMS на произвольный номер, выполнить USSD-запрос и так далее. Не все функции можно задействовать без ведома пользователя. Так, исходящий звонок на некоторых телефонах потребует подтверждения.

Еще один важный момент заключается в том, что это активно эксплуатируемая уязвимость. Предположение исследователей заключается в том, что организатором атаки является частная организация, работающая на правительственные структуры. Оценивается и количество жертв: например, в одной из стран были зафиксированы атаки на 100–150 телефонных номеров, причем на некоторые из них поступают десятки запросов в неделю. Наряду с запросами через SMS, те же самые атакующие используют известные уязвимости в протоколе SS7.

Методы защиты от атаки подобного типа предполагают определенные действия оператора связи. Можно блокировать сами сообщения или деинсталлировать ПО с SIM-карты. Для абонента особых средств защиты пока не предлагается: особенность атаки в том, что она работает и на смартфонах, и на старых мобильниках, и на IoT-устройствах с GSM-модулем. Кроме того, исследователи намекают, что S@T Browser может быть не единственным слабым звеном в коде SIM-карт.

Чуть менее сложная атака была описана на прошлой неделе специалистами компании Check Point (новость ^[5], исследование ^[6]). Проблемы с настройкой мобильного интернета на смартфоне или обычном телефоне уже давно в прошлом, но функциональность рассылки «настроек доступа к сети и для отправки MMS» сохранилась. Как выяснили исследователи, SMS с настройками могут отправлять не только операторы, но и вообще кто угодно. Технология работает не во всех случаях и требует подтверждения пользователя, но когда работает, для атаки также достаточно дешевого USB-модема. В результате злоумышленник может подменить адрес прокси-сервера оператора своим (а также настройки домашней страницы и даже сервер для синхронизации контактов) и перехватывать мобильный трафик жертвы.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник ^[7]