行动手机系统的安全漏洞,大多能透过系统更新来防堵,不过近日一间资讯安全公司发现来自 SIM 卡的超级漏洞,骇客只要发出含有恶意代码的 SMS 短讯,手机收到短讯后可执行不同指令,包括报告所在位置、IMEI、控制手机传输数据、发出假讯息、打电话、自行停用 SIM 卡等。这个漏洞估计已存在 2 年之久,被超过 30 个国家地区的骇客所利用。
这个超级漏洞由资讯安全公司 AdaptiveMobile Security 研究员发现,让电讯商发送指示、短讯、加值服务的 SIM 卡功能“S@T Browser”存在缺陷,骇客可发动“SIMjacker”攻击,在这个内建于 SIM 卡上的软件进行各种指令。由于它并非依存手机系统,而是内建于 SIM 卡,因此 iPhone、部分品牌的 Android 手机与带有 SIM 卡的网络装置,都有机会被攻击,而且被入侵之后不会留下任何痕迹。
研究员指此漏洞已被骇客使用了最少 2 年,广泛被应用于全球 30 个国家地区,包括中东、北非、亚洲与东欧地区。
应对方面,网络供应商可分析可能含有恶意代码的 SMS 并加以拦截,但这方面存在隐私问题,而且影响地区广阔,实行难度十分高。目前 AdaptiveMobile Security 已通知两个世界性行动技术组织 GSM Association 与 SIM Alliance,研究对策以杜绝此类漏洞。
- Simjacker attack could affect a billion smartphones
(本文由 Unwire HK 授权转载;首图来源:pixabay)
