SIM卡又現(xiàn)新漏洞名為WIBattack 位置信息如此泄露
移動(dòng)安全公司AdaptiveMobile在本月初披露發(fā)現(xiàn)了一項(xiàng)關(guān)于SIM卡的漏洞,該漏洞名為Simjacker,該漏洞會從安全程度低的手機(jī)網(wǎng)絡(luò)供應(yīng)商著手,利用惡意短訊盜取手機(jī)用家的位置資訊,后來進(jìn)化至用作欺詐、詐騙電話、資訊泄露、拒絕服務(wù)攻擊,以至是間諜活動(dòng)。而現(xiàn)在,關(guān)于SIM卡又有一項(xiàng)漏洞被發(fā)現(xiàn),它的名字叫WIBattack。
根據(jù)外媒的介紹,WIBattack漏洞是被來自Ginno Security Labs的安全研究人員發(fā)現(xiàn)的,該漏洞利用的是內(nèi)置在SIM卡中的無線互聯(lián)網(wǎng)瀏覽器(WIB),WIB可以使用空中下載(OTA)服務(wù)進(jìn)行管理和更新。漏洞攻擊開始于攻擊者手機(jī)的SMS(短信),攻擊者將包含WIB命令的惡意OTA SMS發(fā)送到受害者電話號碼。
一旦受害者收到OTA SMS,它將命令轉(zhuǎn)發(fā)到受害者的SIM卡中的WIB瀏覽器。WIB響應(yīng)該命令,并向受害手機(jī)發(fā)送PROACTIVE COMMAND,例如發(fā)起呼叫,發(fā)送SMS和其他信息。遵循SIM卡上的命令,攻擊者可以將呼叫發(fā)送到任何電話號碼,將SMS發(fā)送到任何號碼,甚至可以跟蹤地理位置。
目前,研究人員已經(jīng)向GSM協(xié)會報(bào)告了WIBattack漏洞。研究人員建議使用SIMtester測試SIM卡,以確定WIB瀏覽器中的漏洞。此外,他們正在開發(fā)可在Android設(shè)備上運(yùn)行的SIM掃描設(shè)備。