En sårbarhet i 1 miljard SIM-kort skulle göra det möjligt för hackare att ta kontroll över telefoner och spionera på allt användaren gör
Ett sms är allt som krävs för att spionera på i stort sett vilken mobiltelefon som helst med ett SIM-kort, men även andra enheter med ett telefonkort. Och någon gör det redan, på uppdrag av regeringar och underrättelsetjänster som behöver spionera på specifika personer.
Detta är larmet från säkerhetsföretaget AdaptiveMobile Security, som har upptäckt att omkring en miljard SIM-kort, från fler än flera operatörer, i över trettio länder världen över, kan attackeras med hjälp av en metod som kallas "SimJacker". För att SimJackerr ska kunna agera behöver du inte installera några appar eller ansluta till några infekterade webbplatser, ladda ner virus, trojaner eller annan skadlig kod: allt du behöver göra är att skicka ett SMS till någon som vill spionera på dig, och sedan kommer all din kommunikation att kunna spåras. Användaren märker ingenting och har tyvärr inget riktigt sätt att skydda sig effektivt eftersom problemet ska lösas av telefonoperatörerna.
Hur SimJacker fungerar
Enligt AdaptiveMobile Security är SimJacker-attacken inte heller särskilt svår att utföra: allt du behöver är ett GSM-modem för att skicka ett SMS med körbar kod. Dessa koder körs sedan av S@T Browser-komponenten (SIM Application Toolkit, som finns i de flesta operatörers SIM-kort), vilket startar infektionen.
I det här läget har hackaren praktiskt taget full kontroll över den angripna smarttelefonen: han kan läsa IMEI-koden, geolokalisera enheten, använda den för att skicka meddelanden och framför allt tvinga den angripna telefonen att ringa ett samtal till angriparens telefon utan att den lagliga ägaren av smarttelefonen vet om det.
En miljard användare i riskzonen: hur du försvarar dig
AdaptiveMobile Security är övertygad om att det redan finns minst ett privat företag som har använt SimJacker för att spionera på ett litet antal användare i minst två år. Ansvaret sägs ligga hos en eller flera utländska regeringar. Sårbarheten påverkar minst en miljard SIM-kort världen över och det är nästan omöjligt att försvara dem.
Telefonoperatörer skulle teoretiskt sett kunna införa centraliserade säkerhetslösningar som skulle hindra en extern attack från att vara effektiv. Men dessa lösningar har ännu inte beslutats eller genomförts. Under tiden kan användaren begära att SIM-kortet ersätts med ett nytt kort som inte är utrustat med S@T Browser-komponenten, men operatörerna är inte nödvändigtvis beredda på en sådan situation.