Начиная, с 12 сентября очень многие известные, как российские, так и мировые интернет-СМИ пестрели откровенно «желтыми» заголовками такого формата: «все телефоны мира в опасности», «все под колпаком», «нас прослушивают больше двух лет». В раздувании этой истерии поучаствовали engadget, лаборатория Касперского, само собой pikabu, яплакал и многие-многие другие. Давайте разберемся насколько же велика опасность в действительности и как проверить свой телефон на наличие проблемы.
Итак, 12 сентября на сайте Simjacker появился обзор уязвимости.
«Аналитики AdaptiveMobile обнаружили новую, ранее не найденную уязвимость и связанные с ней эксплойты под названием Simjacker. Эта уязвимость в настоящее время активно используется конкретной частной компанией, которая работает с правительствами для мониторинга отдельных лиц. Simjacker и связанные с ним эксплойты - огромный скачок в сложности по сравнению с атаками, ранее замеченными по мобильным базовым сетям. Основная атака Simjacker заключается в том, что на мобильный телефон отправляется SMS-сообщение, содержащее определенный тип шпионского кода, который затем отправляет на SIM-карту телефона указание «захватить» мобильный телефон для получения и выполнения конфиденциальных команд. Информация о местонахождении тысяч устройств была получена с течением времени без ведома или согласия целевых пользователей мобильных телефонов. Во время атаки пользователь не знает, что он атакован, что информация была извлечена.
Масштаб уязвимости
Simjacker был использован для выполнения многих других типов атак на отдельных лиц и операторов мобильной связи, таких как мошенничество, мошеннические вызовы, утечка информации, отказ в обслуживании и шпионаж. Теоретически, все марки и модели мобильных телефонов открыты для атаки, поскольку уязвимость связана с технологией, встроенной в SIM-карты. Уязвимость Simjacker может быть распространена на более чем 1 миллиард пользователей мобильных телефонов во всем мире, на любой регион планеты, где используется подобная технология SIM-карт.»
Рассмотрим подробнее, что же тут написано. Очень вероятно, что этот хайп был поднят ради привлечения внимания, для самопиара. Занятный момент, аналитики опубликовали своё исследование перед конференцией, посвященной интернет безопасности Virus Bulletin. Пруф есть на самом сайте, там говорится, что подробности будут представлены на конференции.
Суть сводится к тому, что злоумышленник может получить данные о местоположении жертвы через отправку SMS-сообщений на специальное меню-приложение «S@T», установленное на SIM-карте. При этом пострадавшие не видят никаких SMS-сообщений и других следов компрометации. Так как атака Simjacker направлена на SIM-карту, она не зависит от платформы и типа устройства пользователя.
Исследователи также заявляют, что подобные эксплойты, ранее не были обнаружены, однако ещё в 2011г. подобная уязвимость была продемонстрирована на конференции по вопросам безопасности DeepSec. Затем в 2013 суть атаки и методы исполнения вновь были представлены общественности на конференции BlackHat (видеодемонстрация).
Далее, аналитики пытаются нас убедить, что все в опасности, но практически сразу операторы Sprint и T-Mobile заявили о том, что их пользователи не пострадали, и представители AT&T уверяют, что их американская сеть неуязвима перед такими атаками. Этому есть простое объяснение, американские операторы используют SIM-карты отличные от тех, что используются в большинстве стран мира. Следовательно, подобная атака не может быть совершена в этом регионе.
Сразу следом за Simjacker, организация Ginno Security Lab опубликовала свои данные об аналогичной атаке. Эта уязвимость также связана с самой SIM-картой. Она получила название WIBattack (Wireless Internet Browser). Подробно, как происходит атака на смартфон, можно посмотреть тут. Данной уязвимости подвержены SIM-карты, работающие на ПО SmartTrust.
SmartTrust - это ведущий поставщик инфраструктурных решений, предназначенных для мобильных электронных услуг. Более 85 операторов мобильной связи по всему миру используют их технологию.
Исследователи сообщают, что они обнаружили WIBattack и Simjacker (которую назвали S@Tattack) еще в 2015 году, но не стали публиковать результаты, опасаясь последствий для пользователей. По их оценкам, число SIM-карт с уязвимым WIB составляет может составлять до «сотни миллионов».
Если рассказать вкратце, то WIBattack может быть использована для получения данных о местоположении, осуществлении вызовов, отправки SMS, отправки запросов USSD, запуска браузера с определенным URL, отображения текстового сообщения на устройстве. Также исследователи из Ginno утверждают, что практически все sim-карты производства компании Gemalto (крупнейший производитель карт) могут или были уже скомпрометированы. В качестве пруфов они приводят публикации Лаборатории Касперского и ресурса ZDNet. Речь там идёт о взломе SIM-карт АНБ США и о том, что Эдвард Сноуден был во всём прав.
Итак, в очередной раз у читателя может сложится мнение, что всё плохо. Паниковать сейчас не стоит.
Совсем недавно, 27 сентября, компании SRLabs опубликовала свой отчёт, и всё совсем не так страшно, как нам заявляли ранее. Опасность действительно существует, в основном на старых SIM-картах. Для проверки много лет назад исследователи разработали два приложения SIMtester и SnoopSnitch.
SIMtester предназначен для проверки на ПК. А SnoopSnitch собирает диагностику со смартфонов на OS Android, начиная с 4.1.2 и выше, работающих на процессорах Quallcomm и с открытым ROOT-доступом.
Собранные данные показали, что Simjacker и WIBattack вовсе не так опасны, как кажутся. Проверив более 800 SIM-карт со всего мира, из их собственной коллекции, исследователи пришли к выводу, что большинство производителей и мобильных операторов устранили бреши безопасности, и более не используют устаревшие технологии STK-меню на SIM-картах.
• только на 9,4% протестированных SIM-карт установлено устаревшее SIM-меню;
• примерно 5,6% SIM-карт уязвимы для Simjacker, потому что их уровень защиты был установлен на ноль;
• на 10,7% SIM-карт установлен WIB;
• лишь 3,5% уязвимо для атак на WIB;
• Только 9,1% протестированных SIM-карт уязвимы для атак.
Добавили ценной информации и 500 000 пользователей приложения SnoopSnitch, которое собирает статистику с 2014 года. Здесь результаты получены следующие:
• Только малое количество пользователей вообще получает сообщения, необходимые для использования Simjacker и WIBattack:
• лишь 8 пользователей получили 29 SMS, предназначенных для S@T-меню SIM-карты;
• первое такое сообщение датировано 2016 годом;
• большинство SMS предназначались для пользователей в Латинской и Южной Америке.
Основываясь на полученных данных, эксперты SRLabs сделали вывод, что все в безопасности. «Ни одна из самых последних протестированных нами SIM-карт не показывает наличие уязвимых приложений или неправильно выбранных настроек безопасности.»
Ведь, чтобы быть уязвимым, должны быть выполнены ряд условия:
- У вас должна быть старая SIM-карта с устаревшим STK-меню (например, S@T или WIB)
- Значение MSL (минимальный уровень безопасности) у приложения должно быть установлено на ноль;
- Оператор связи пересылает двоичные SMS;
Желающие могут протестировать свою SIM-карту на предмет уязвимостей, скачав приложение с Google Play, о которых говорилось выше. В случае опасности, программа вас об этом оповестит.
И напоследок, мои выводы по ситуации.
В нашу цифровую эру, любую новость необходимо воспринимать критически, дать ей несколько дней «отлежаться», за это время появятся новые обстоятельства, и уже после этого, можете идти на улицу и пугать там народ. Ведь именно так и делают разнообразные СМИ, при любом удобном случае. Спасибо за это, его величеству, клик-бейту.
Оставайтесь с нами, подписываясь на наш канал, и не забудьте поставить лайк.