La firma de seguridad AdaptiveMobile Security ha descubierto una nueva vulnerabilidad crítica llamada Simjacker que afecta a nuestros móviles, pero que lo hace de una forma muy especial.
No es un problema específico de Android, iOS o cualquier otra plataforma móvil, sino de las tarjetas SIM que utilizamos en cualquiera de estos terminales. Su alcance por tanto es enorme, y lo peor es que los usuarios no podemos hacer nada por solucionarlo: solo las operadoras pueden atajar el problema.
Atacando a un viejo (des)conocido
El experto en seguridad Dan Guido, de la firma Trail of Bits, explicaba cómo "este ataque es agnóstico en cuanto a la plataforma, afecta a prácticamente cualquier teléfono y no hay nada que nadie pueda hacer a excepción de tu operadora".
El problema se basa en el uso de un mensaje SMS especialmente formateado que acaba llegando al llamado UICC (Universal Integrated Circuit Card), la tarjeta inteligente que permite que las tarjetas SIM puedan hacer su trabajo.
Ese mensaje contiene óridenes para un viejo software que forma parte de las tarjetas SIM desde hace más de una década. Se trata del llamado S@T Browser que antiguamente permitía a diversos servicios acceder por ejemplo al balance de datos y minutos de voz que nos quedaban en nuestra tarjeta cada mes.
Las funciones de ese software acabaron siendo suplantadas por otras más modernas que dejaban en segundo plano al viejo S@T Browser, que no se actualiza desde 2009, pero aún así el ataque se aprovecha de que muchos países y operadoras siguen integrando esa herramienta como parte de sus SIM: se estima que más de 1.000 millones de usuarios están potencialmente afectados por el problema, pero es difícil realizar un cálculo exacto.
La ubicación es solo parte del problema
¿Qué riesgos corre el usuario? Entre muchos otros, el de registrar la ubicación del móvil en todo momento, aunque los expertos apuntan a que esta opción no es la más interesante para los posibles atacantes, que tienen muchas alternativas para averiguar la localización (muchas aplicaciones móviles lo permiten).
Según AdaptiveMobile Security el ataque parece haber sido "desarrollado por una empresa privada que trabaja con gobiernos para monitorizar a gente en particular", y todo apunta a que se ha diseñado para hacer seguimiento de teléfonos de personalidades a las que de otro modo sería muy difícil acceder.
El ataque va más allá de poder espiar la ubicación, y es posible que esos mensajes SMS se conviertan en un "caballo de Troya" desde el cual instalar todo tipo de malware y spyware.
La solución no está en poder de los usuarios, que no pueden hacer nada en sus móviles, pertenezcan a la plataforma que pertenezcan: son las operadoras las que deben tratar de atajar el problema.
Vía | ArsTechnica
Más información | AdaptiveMobile Security
La SIMalliance —que representa a los fabricantes de ese componente crítico, la UUIC— recomienda bloquear "mensajes SMS binarios no legítimos" y hacer cambios en las preferencias de seguridad de las tarjetas de seguridad que se envíen a los usuarios a partir de ahora.
Ver 1 comentarios