PplWare Mobile

Nova ameaça permite realizar scam ao cartão SIM de milhões de utilizadores

                                    
                                

Este artigo tem mais de um ano


Fonte: Ginno Security Lab

Autor: Eduardo Mota


  1. Filipe says:

    “Esta invasão pode ser feita remotamente e de forma simples. Para isso, basta apenas enviar uma SMS para a vítima com um link, que esta tem de abrir.”

    Está resolvido o problema: não se abrir links. Mais uma vez, o problema não é (só) dos SIM. É do utilizador que clica em todo o lado e aceita tudo e abre todos os links sem se preocupar “porque só acontece aos outros”.

  2. Jose Lapao says:

    Pelo que me apercebi o simtester é uma ferramenta que corre em PC logo temos de ter um leiror de cartões SIM para PC para poder testar. Não seria mais facil fazer uma aplicação para Android/iPhone/iPad/WindowsPhone assim qualquer pessoa podia testar.

    Vou tentar usar um modem USB para testar os meus SIMs

  3. Jose Lapao says:

    Pelo que me apercebi o simtester é uma ferramenta que corre em PC logo temos de ter um leiror de cartões SIM para PC para poder testar. Não seria mais facil fazer uma aplicação para Android/iPhone/iPad/WindowsPhone assim qualquer pessoa podia testar.

    Vou tentar usar um modem USB para testar os meus SIMs

  4. Joao Ptt says:

    E ainda os bancos insistem no SMS como única forma de segundo-factor de autenticação… estamos entregues aos bichos.

    • Cristina Maria Busca Pinheiro says:

      Tem razão.
      Por isso mesmo quaisquer movimentos bancários devem ser feitos ao balcão ou nos multibancos

      • Joao Ptt says:

        Não tem de ser feito ao balcão, nem nos multibancos (em muitos multibancos até lhes colocam aparelhos para roubar os dados dos cartões).
        Bastava enviarem a informação para uma aplicação de mensagens segura e simples de usar como o Threema, ou um e-mail cifrado com S/MIME ou PGP, ou o próprio banco ter uma aplicação à parte para receber tal informação para depois a pessoa colocar ou confirmar nessa tal aplicação, à parte, do banco a operação… e assim estar dentro do espírito da lei.
        O SMS foi simplesmente a pior opção possível.

  5. David Guerreiro says:

    Mesmo que algum dos nossos SIMs esteja vulnerável, vai-se pedir ao operador uma 2ª via, paga-se e recebe-se um SIM igualmente vulnerável.

    Aqui a regra de ouro é fazer nos SMS como se faz nos e-mail, não abrir links, especialmente quando o que nos prometem é bom demais para ser verdade.

    • Joao Ptt says:

      O problema, segundo compreendi, é que o SMS binário acede directamente ao cartão SIM, e faz as tais operações que não era suposto ser permitido, pelo menos a qualquer um.

  6. Samuel says:

    O mais seguro é ignorar as SMS e ir as caixas MB fazer as operações.

  7. Joao Pedro Rodrigues says:

    Pelo que percebi, não é só uma questão de pagamentos… E as chamadas telefónicas e afins?
    “Entre as quais realizar chamadas e enviar SMS, aceder ao browser, informação relativa ao IMEI e a localização precisa da vítima”.
    E será que não consegue aceder a outros dados do telemóvel, como contactos, notas, passwords, etc?

  8. Losange Nepomuceno says:

    Só falta chega no BRASIL!!!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.