SIMJACKER è una vulnerabilità che non riguarda direttamente i sistemi operativi come Android o iOS, ma le SIM card stesse. Le SIM non sono semplici pezzi di plastica, ma piccoli elaboratori con un proprio sistema operativo, capaci di eseguire comandi. La vulnerabilità è stata sfruttata da una società di intercettazioni sotto scrutinio per la sua politica di vendita di tecnologie anche a regimi non democratici. SIMJACKER consente l'invio di un SMS formattato per interagire con la SIM, permettendo la geolocalizzazione del dispositivo senza che l'utente ne sia consapevole. Questo avviene tramite un SMS che richiede alla SIM di inviare la posizione del dispositivo, utilizzando il GPS o il cell ID, all'attaccante.
Oltre alla geolocalizzazione, SIMJACKER può essere usato per inviare comandi che fanno apparire notifiche per effettuare chiamate a numeri a pagamento, o per aprire pagine web silenziosamente, un metodo usato per inoculare malware. Questa tecnica non dipende dal sistema operativo del dispositivo, rendendola una minaccia universale. La società che ha sfruttato questa vulnerabilità ha utilizzato questo metodo per installare malware sui dispositivi bersaglio.
Le contromisure non sono semplici da implementare. Gli operatori telefonici dovranno affrontare il problema, ma potrebbero incontrare resistenza da parte delle forze dell'ordine che usano tali tecnologie per le intercettazioni. Il panorama della sicurezza mobile è quindi messo alla prova da questa minaccia, che richiede un intervento deciso da parte degli operatori e delle autorità.
In questa Puntata
La vulnerabilità SIMJACKER, scoperta da Adaptive Mobile Security, rappresenta una minaccia significativa poiché sfrutta i protocolli delle SIM card per consentire il controllo remoto e silenzioso dei dispositivi mobili. Questa vulnerabilità permette la geolocalizzazione, l'apertura di pagine web senza il consenso dell'utente e l'esecuzione di chiamate a numeri predeterminati, senza che la vittima ne sia consapevole. La sua esistenza pone gravi interrogativi sulla sicurezza delle comunicazioni mobili e sulle implicazioni per la privacy.