柳宝门户网站 >> 科技 >> SIM卡出现巨大漏洞“绑架“你的手机丨专栏

SIM卡出现巨大漏洞“绑架“你的手机丨专栏

2019-10-31 16:14:02 阅读:1776
手机作为通讯工具,需要借助sim卡来实现通话与上网等功能,但是由于sim卡本身的安全缺陷以及来自运营商方面的漏洞等问题,近年来问题不断。

我的sim卡是“绑匪”

大东:你又在玩手机游戏了吗?努力学习!

小白:放松。

大东:小心你的sim卡被黑客用来窃取你的隐私。

小白:(害怕扔掉手机)

大东:最近,一家外国安全公司披露了sim卡的漏洞。

Sim卡

小白:什么漏洞?

大东:这个漏洞被称为“模拟入侵者”。它处理sim卡中称为s@t浏览器的旧软件技术。最新更新是在2009年。

小白:那是10年前,不久前。

大东:通过这个漏洞向手机发送短信,其中包含特定类型的代码,可以远程控制sim卡发出命令并控制手机,从而执行敏感命令,跟踪手机的位置,并可能接管设备。

小白:这么糟糕?

大东:目前,至少有30个国家的移动运营商使用s@t浏览器技术,影响手机用户总数超过10亿。

小白:影响不小。

第二,“simjacker”漏洞

小白:这个“模拟杰克”漏洞是如何工作的?

大东:simjacker攻击只需要发送一条短消息,其中包含一种特定类型的间谍软件代码发送到手机。然后手机将指示手机中的uicc(sim卡)来“接管”手机,并依次检索和执行敏感命令。

小白:这是什么uicc?

大东:这个易受攻击的sim卡是基于uicc平台的,但是它有更多的功能。sim卡将被直接称为uicc。

小白:哦,哦,酱油和紫色。

大东:当一条短消息(模拟攻击消息)发送到目标手机时,攻击开始。

小白:你怎么说?

大东:这个模拟攻击消息是从另一部手机通过gsm调制解调器或连接到a2p账户的短信账户发送的。它包含一系列sim工具包(stk)指令,专门设计用于传输到uicc/euicc(sim卡)设备。

小白:(哭)后悔没有好好学习沟通。

大东:不,我还能学。为了使这些指令生效,攻击使用了一个名为s@t browser的特定软件,该软件位于uicc上。一旦uicc接收到simjacker攻击消息,它将使用s@t浏览器库作为uicc上的执行环境,并具有触发移动电话的逻辑。

小白:扳机后发生了什么?

大东:对于观察到的重大攻击,uicc上运行的模拟入侵者代码将从移动电话请求位置和特定设备信息(imei)。一旦检索到信息,uicc上运行的simjacker代码就会对其进行整理,并通过另一条短信(“数据消息”)将合并后的信息发送给接收方号码,然后再次触发手机上的逻辑。

小白:这是什么数据信息?

大东:这个数据信息是一种向攻击者控制的远程电话泄露位置和imei信息的方式。

小白:没错。

执行过程

大东:是半天还是一脸愚蠢?

小白:尴尬,被看见了。

三、独特的攻击

小白:刚才很多次提到的科技浏览器是什么?感觉是非常重要的事情。

Dadong: s@t(发音sat)浏览器(simalliance toolbox browser)是simalliance指定的应用程序,可以安装在各种uicc(sim卡)上,包括esim。

小白:不是说更新在2009年停止了。

大东:是的,这个浏览器软件是未知的,而且很旧。它的最初目的是支持通过sim卡获取账户余额等服务。从全球来看,它的功能已经被其他技术所取代。自2009年以来,其规格一直没有更新。然而,像许多传统技术一样,它仍然在后台使用。

小白:还在用...

大东:这种攻击也是独一无二的,因为模拟攻击消息在逻辑上可以归类为携带完整的恶意软件负载,尤其是间谍软件。这是因为它包含要由sim卡执行的指令列表。此外,软件本质上是一个指令列表。一个真实的例子是强迫浏览器打开包含恶意软件的网页。

小白:这么多?

大东:simjacker的新奇和潜力不止于此。不仅获得了位置,而且通过使用相同的技术和修改攻击消息,攻击者可以指示uicc执行一系列其他攻击。这是因为攻击者可以使用相同的方法访问完整的stk命令集。

小白:它们是什么样的stk命令?

大东:例如,播放音乐、建立通话、发送短信、提供本地信息的位置信息、运行命令、发送数据、获取服务信息等。

小白:所有这些敏感信息都没有暴露吗?

大东:通过在测试中使用这些命令,可以实现:1 .发送虚假信息;2.欺诈;3.间谍活动;4.恶意软件的传播;5.拒绝服务攻击;6.信息检索。

小白:我可以做很多坏事...

大东:那不是真的。从攻击者的角度来看,simjacker的另一个好处是,它的许多攻击似乎与移动电话的类型无关,因为该漏洞依赖于uicc上的软件,而不是设备,所以只要您的sim卡装有浏览器,它就会被使用。

四.预防措施

小白:我的安全意识仍然需要提高。我没想到小型sim卡会有这么大的安全问题。

大东:安全问题无处不在。提高一些安全意识总是有好处的。

小白:没错,应该教我如何保护我的sim卡吗?

大东:事实上,随着实名sim卡系统的实施,sim卡不再像简单的电话卡那么简单了。sim卡承载了更多个人信息和通信所需的媒体。作为一种通信工具,手机需要使用sim卡来实现通话和上网等功能。然而,由于sim卡的安全缺陷和运营商的漏洞,近年来问题仍在继续。

小白:sim卡有什么安全风险?

大东:如果你丢了手机,很容易找到家庭住址。拿起另一个人的手机后,您可以通过登录sim卡所在的运营商网站轻松破解另一个人的身份证号码和家庭地址。

小白:我们如何防止这种情况?

大东:建议大家为手机设置pin码,这样可以在一定程度上降低手机丢失导致个人信息进一步泄露的风险。

小白:好的,我会安排一个。


上一篇:菏泽再夺冠!获奖总数列全国牡丹参赛团体第一名!特等奖19个、
下一篇:17号台风“塔巴”生成!本周末两天南通将迎大风
版权与免责声明:
①凡本网注明"来源:柳宝门户网站"的所有作品,均由本网编辑搜集整理,并加入大量个人点评、观点、配图等内容,版权均属于柳宝门户网站,未经本网许可,禁止转载,违反者本网将追究相关法律责任。
②本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
③如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,我们将在您联系我们之后24小时内予以删除,否则视为放弃相关权利。