SIM 卡又曝新漏送:位置信息就这样被泄露
移动安全公司 AdaptiveMobile 在本月初披露发现了一项关于 SIM 卡的漏洞,该漏洞名为 Simjacker,该漏洞会从安全程度低的手机网络供应商着手,利用恶意短讯盗取手机用家的位置资讯,后来进化至用作欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动。而现在,关于 SIM 卡又有一项漏洞被发现,它的名字叫 WIBattack。
SIM 卡又曝新漏送:位置信息就这样被泄露
根据外媒的介绍,WIBattack 漏洞是被来自 Ginno Security Labs 的安全研究人员发现的,该漏洞利用的是内置在 SIM 卡中的无线互联网浏览器(WIB),WIB 可以使用空中下载(OTA)服务进行管理和更新。漏洞攻击开始于攻击者手机的 SMS(短信),攻击者将包含 WIB 命令的恶意 OTA SMS 发送到受害者电话号码。
一旦受害者收到 OTA SMS,它将命令转发到受害者的 SIM 卡中的 WIB 浏览器。WIB 响应该命令,并向受害手机发送 PROACTIVE COMMAND,例如发起呼叫,发送 SMS 和其他信息。遵循 SIM 卡上的命令,攻击者可以将呼叫发送到任何电话号码,将 SMS 发送到任何号码,甚至可以跟踪地理位置。
目前,研究人员已经向 GSM 协会报告了 WIBattack 漏洞。研究人员建议使用 SIMtester 测试 SIM 卡,以确定 WIB 浏览器中的漏洞。此外,他们正在开发可在 Android 设备上运行的 SIM 扫描设备。