A segurança do cartão SIM sempre foi colocada em causa. Mesmo assim, é severamente usado para autenticação por dois fatores (2FA). Não obstante, uma descoberta recente publicada mostra uma brecha de segurança, em certos cartões SIM, que um atacante pode usar.
Através desta falha de segurança, o invasor pode aceder a vários dados da vítima, para além de controlar as operações efetuadas com o cartão. Segundo especialistas, centenas de milhões de cartões SIM estão em perigo.
No passado já vimos vários casos que demonstram as fragilidades dos cartões SIM. O caso recente mais emblemático foi o Simjacker, que toma domínio dos dispositivos das vítimas sem que estas se apercebam. Esta nova ameaça encontrada pelo Ginno Security Lab remete para a mesma realidade, mas com ainda mais utilizadores comprometidos!
Através do Wireless Internet Browser (WIB), o atacante consegue penetrar nos comandos do cartão SIM da vítima. Esta invasão pode ser feita remotamente e de forma simples. Para isso, basta apenas enviar uma SMS para a vítima com um link, que esta tem de abrir.
Ao enviar uma SMS maliciosa para o número de telefone da vítima, o invasor pode abusar das vulnerabilidades no WIB para controlar remotamente o telemóvel da vítima. A magnitude da vulnerabilidade no WIB espalha-se por todo o mundo e coloca centenas de milhões de utilizadores de telecomunicações em risco.
Depois de invadido, o telemóvel fica à mercê do invasor. De forma silenciosa, este pode realizar todo um conjunto de operações sem que a vítima se aperceba. Entre as quais realizar chamadas e enviar SMS, aceder ao browser, informação relativa ao IMEI e a localização precisa da vítima.
Mais perigoso é o facto de o utilizador não ter nenhuma noção de que está a ser atacado ou controlado. O equipamento não envia uma notificação a informar sobre a situação, não se apercebendo de todo do que está a decorrer nas suas costas.
A lista de cartões SIM ameaçados por esta falha é imensa, afetando centenas de milhões de utilizadores. Para estarem vulneráveis, basta que o seu cartão SIM esteja habilitado para WIB.
O Ginno Security Lab relatou a vulnerabilidade no WIB do cartão SIM à The GSM Association. Esta associação recomenda o uso do SIMtester, ferramenta open-source para verificar se o seu cartão está seguro ou não.