Experts van AdaptiveMobile Security ontdekten onlangs een aanvalsmethode op mobiele telefoons die uitgevoerd kan worden met gebruik van een normale computer en een spotgoedkope USB-modem. Hoewel er voor sommige oudere methodes van mobiele surveillance speciale apparaten en een telecom-exploitatielicentie nodig zijn, profiteert deze aanval, Simjacker genaamd, van een zwakke plek die in simkaarten is gevonden.
Het draait allemaal om S@T Browser
De meeste simkaarten die sinds begin 2000 zijn uitgegeven, waaronder eSIM, bevatten een providermenu. Dit menu bevat taken zoals Saldocontrole, Opladen, Technische ondersteuning en soms nog extra’s zoals het weer, of zelfs een horoscoop en meer. Oude telefoons hadden dit in het hoofdmenu. iOS begraaft het diep in de Instellingen (onder SIM Application), en in Android-smartphones is het een alleenstaande app, SIM Toolkit genaamd.
Het menu is in feite een app — of, om nauwkeuriger te zijn, verschillende apps met de algemene naam SIM Toolkit (STK) — maar deze programma’s draaien niet op de telefoon zelf, maar op de simkaart. Onthoud dat uw simkaart in principe een minicomputer is met zijn eigen besturingssysteem en programma’s. STK reageert op externe commando’s, zoals knoppen die binnen het providermenu worden ingedrukt, en zorgt ervoor dat de telefoon bepaalde acties uitvoert, zoals het versturen van sms-berichten of USSD commands.
Een van de apps in de STK is S@T Browser. Deze app wordt gebruikt voor het bekijken van webpagina’s in een bepaald formaat en pagina’s die zich binnen het interne netwerk van de provider bevinden. S@T Browser kan bijvoorbeeld informatie verstrekken over uw saldo.
De S@T Browser-app is als sinds 2009 niet meer geüpdatet, en hoewel de functies ervan in moderne apparaten worden uitgevoerd door andere programma’s, wordt S@T Browser nog altijd actief gebruikt, of is hij op zijn minst nog altijd geïnstalleerd op veel simkaarten. Onderzoekers hebben geen specifieke regio’s of telecombedrijven genoemd die simkaarten met deze app geïnstalleerd verkopen, maar beweren dat er meer dan 1 miljard mensen in maar liefst 30 landen hem gebruiken, en het is in S@T Browser waar de zwakke plek die eerder in deze post is genoemd werd ontdekt.
Simjacker-aanvallen
De aanval begint met een sms-bericht dat een reeks instructies voor de simkaart bevat. Door deze instructies op te volgen geeft de simkaart de mobiele telefoon opdracht om het serienummer en het Cell ID van het basisstation te verstrekken waar de abonnee zich in de buurt bevindt, en verstuurt het een sms met deze informatie naar het nummer van de aanvaller.
Basisstation-coördinaten zijn bekend (en zelfs online beschikbaar), dus het Cell ID kan worden gebruikt om de locatie van de abonnee tot op enkele honderden meters te bepalen. Vooral locatie-gebaseerde diensten zijn afhankelijk van hetzelfde principe voor het bepalen van een locatie zonder hulp van satellieten, bijvoorbeeld binnenshuis als de GPS is uitgeschakeld.
Al het gesjoemel met gehackte simkaarten is volledig onzichtbaar voor de gebruiker. Noch inkomende sms-berichten met commando’s, noch reacties daarop met de locatiegegevens van het apparaat worden weergegeven in de Berichten-app, dus Simjacker-slachtoffers zijn zich waarschijnlijk niet eens bewust van het feit dat ze bespioneerd worden.
Wie is er getroffen door Simjacker?
Volgens AdativeMobile Security hebben spionnen de locatie van mensen in verschillende niet nader genoemde landen getrackt. En in een van die landen worden er elke dag zo’n 100 – 150 nummers aangetast. Verzoeken worden normaal gesproken niet vaker dan één keer per week verzonden, maar de bewegingen van sommige slachtoffers worden echter veel preciezer gevolgd — het onderzoeksteam ontdekte dat verschillende ontvangers honderden verschillende schadelijke sms-berichten per week ontvingen.
Simjacker-achtige aanvallen kunnen nog veel verder gaan
Zoals de onderzoekers opmerkten, gebruikten cybercriminelen niet alle capaciteiten van de simkaart die mogelijk zijn met S@T Browser. Sms-berichten kunnen bijvoorbeeld worden gebruikt om de telefoon welk nummer dan ook te laten bellen, berichten met willekeurige tekst naar willekeurige nummers te sturen, links in de browser te openen, en zelfs de simkaart te blokkeren, waardoor de telefoon van het slachtoffer waardeloos wordt.
Deze zwakke plek biedt ruimte voor verschillende potentiële aanvalsscenario’s: criminelen kunnen via een sms geld overmaken naar een bankrekeningnummer, dure korte nummers bellen, phishing-pagina’s openen in de browser of Trojans downloaden.
Dit beveiligingslek is vooral gevaarlijk omdat het niet afhankelijk is van het apparaat waar de kwetsbare simkaart inzit; de STK-commando-set is gestandaardiseerd voor en wordt ondersteund door alle telefoons en zelfs IoT-apparaten met een simkaart. Voor sommige handelingen, zoals het plegen van een telefoontje, verzoeken sommige gadgets om bevestiging van de gebruiker, maar bij veel apparaten is dit niet het geval.
Hoe kan een gebruiker Simjacker-aanvallen voorkomen?
Helaas bestaat er geen opzichzelfstaande methode voor gebruikers om aanvallen op simkaarten te voorkomen. Het is de plicht van mobiele providers om de veiligheid van hun klanten te waarborgen. Allereerst zouden het gebruik van verouderde sim-menu-apps moeten vermijden, en tevens sms-code die gevaarlijke commando’s bevat blokkeren.
Maar er is ook goed nieuws. Hoewel er geen dure hardware nodig is om de aanval uit te voeren, moet men wel over redelijk uitgebreide technische kennis en speciale vaardigheden beschikken, wat betekent dat deze methode waarschijnlijk niet door zomaar elke cybercrimineel gebruikt zal worden.
Bovendien hebben de onderzoekers deze zwakke plek gemeld bij de ontwikkelaar van S@T Browser, SIMalliance. Als reactie stelde het bedrijf een reeks beveiligingsrichtlijnen op voor providers die de app gebruiken. De Simjacker-aanvallen zijn ook gemeld aan de GSM Association, een internationale organisatie die de belangen van mobiele providers over de hele wereld behartigd. Er wordt dus gehoopt dat bedrijven zo snel mogelijk de noodzakelijke beschermingsmaatregelen nemen.