Security Week 38: слежка за мобильными устройствами через SIM-карту

Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широко обсуждаются уязвимости в протоколе SS7, используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.

Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (новость, подробное описание) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как S@T Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Превратили корпоративный блог в медиаплощадку для всего диджитал-рынка и получили 5500 статей за 10 месяцев
• В рейтинг Forbes в 4 года! Рассуждаем о тренде на кидфлюенсеров
• Как придумывать и запоминать пароли для разных сервисов
• Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1
• Дайджест ИБ-регулирования. Апрель-июнь 2025
• Цикл вебинаров про разработку безопасного программного обеспечения (ГОСТ Р 56939-2024)
• От HackerOne к родным берегам: как меняется российский багхантинг
• [Перевод] Локальные прокси — новый двигатель цифровых атак
• Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 10. «Пиво и Люди»
• Сравнение технологий PKI и FIDO для задач аутентификации