Solo qualche settimana fa vi abbiamo parlato di SimJacker, una nuova modalità di attacco che permette a malintenzionati di colpire tutti gli utilizzatori di smartphone, non importa di che brand o che sistema operativo usino; infatti, il tutto si basa sulla scheda SIM, e su software che le stesse schede integrano e vengono utilizzati dagli operatori. Quest’oggi tocca invece a WIBattack, un nuovo “bug” che funziona esattamente come SimJacker.

Se SimJacker si basa sul software S@T Browser, WIBattack fa leva sull’applicativo Wireless Internet Browser (WIB) per raggiungere gli stessi obiettivi. Entrambi sono applicativi Java che vengono installati dagli operatori sulle SIM per offrire agli utenti servizi da remoto.

I ricercatori di Ginno Security Labs, dopo la scoperta di utilizzo non corretto di S@T Browser, hanno scoperto un bug simile su WIB, sebbene non siano riusciti a scoprire eventuali attacchi in corso. Il funzionamento sarebbe però identico, e il malintenzionato potrebbe eseguire istruzioni sulla SIM tramite degli speciali SMS binari, senza che nessuno se ne accorga (non vi sono particolari sistemi di sicurezza).

I comandi a cui è possibile accedere sono i medesimi di SimJacker, e rendono il malcapitato alla completa mercé di chi attacca:

  • Conoscere la localizzazione;
  • Iniziare una chiamata;
  • Inviare SMS;
  • Inviare richieste SS;
  • Inviare richieste USSD;
  • Avviare il browser verso un URL specifico;
  • Visualizzare testo sullo schermo del dispositivo;
  • Riprodurre una suoneria.

Questo vuol dire che chi attacca può avere completa conoscenza di dove ci troviamo, oppure di ciò che stiamo dicendo semplicemente avviando una telefonata senza che l’utente possa accorgersene.

Il problema sarebbe però più limitato di quanto si possa pensare: infatti, non basta solo aver installato i software S@T Browser o WIB per poter essere colpiti (software che in ogni caso non sono installati su tutte le SIM), ma perché la SIM sia vulnerabile è necessario che il malintenzionato possa inviare SMS OTA alle SIM, un qualcosa che gli operatori possono bloccare grazie ad alcune funzionalità di sicurezza sulle SIM.

I ricercatori di SRLabs hanno sviluppato due servizi, uno per desktop e uno per Android (necessari i permessi di root e un SoC Qualcomm) per appurare la vulnerabilità o meno delle SIM; dai dispositivi testati, è emerso che circa il 10% hanno S@T Browser e WIB installati, mentre in totale “solo” il 9,1% sono vulnerabili ad attacchi tramite questi software.

Inoltre, su 500.000 utenti testati con l’app, solo 8 hanno ricevuto SMS OTA indirizzati a S@T, in maggioranza localizzata in Sud America.

Nonostante questi dati, parliamo comunque del 10% di un numero estremamente grande se pensiamo a quante SIM siano attive in giro per il mondo, e che può rappresentare un notevole rischio per moltissime persone. Al momento, però, sembra che questo tipo di attacco sia poco interessante per possibili hacker rispetto ad altri tipi di attacchi, come ad esempio SS7.