SIM-SIM, откройся или почему ваш телефон не всегда ваш!

SIM-SIM, откройся или почему ваш телефон не всегда ваш!

В начале сентября в электронных СМИ появилась информация об успешных атаках на SIM-карты, что позволяло злоумышленникам в буквальном смысле следить за пользователями. Речь идет о так называемом SIMjacker. При этом, проблема касается именно SIM-карт – сам телефон, его марка, модель, стоимость и даже статус владельца особой роли не играют.

Если вкратце и не вдаваясь в технические детали, то схема выглядит так. На телефон приходит сообщение, содержащее определенный набор команд. Вы это сообщение не видите, не получаете, не читаете, и оно нигде не сохраняется. А дальше все зависит от возможностей телефона и его операционной системы.

Самое меньшее и самое простое – с вашего телефона начнутся звонки на платные номера с соответствующими финансовыми последствиями.

Второе – геолокация. Скажем, местоположение и перемещения конкретного телефона и так не являются большой тайной. Триангуляция и так далее… Но одно дело, когда эту информацию получают спецслужбы (через очень, надо сказать, непростую бумажную процедуру). И совсем другое дело, когда такими сведениями будет владеть вообще кто угодно.

Но и местоположение телефона – это еще полбеды. Как вам нравится идея удаленной команды на отключение SIM-карты? За время, пока вы без связи, с вашим номером телефона могут произойти самые удивительные вещи. Начиная с доступа к банковским счетам – все без исключения системы онлайн-банкинга в Украине пока привязаны к номеру телефона.

Ваш мобильный оператор при этом ничего не сможет сделать или просто не будет делать. Отправка такого зловредного сообщения никак не нарушает стандартную процедуру передачи данных в сотовой сети.

По умолчанию, с завода, SIM-карта имеет определенный набор свойств и микропрограмм на борту, что и позволяет эксплуатировать эти уязвимости. Вполне очевидно, что и завод-производитель-поставщик массовых партий SIM-карт тоже не будет вносить изменения в технологический процесс производства и прошивки своих карт. Это очень скрупулезная и штучная работа, для выполнения которой требуется как минимум лицензия, а как максимум – отдельный заказ от оператора.

Исследование наиболее распространенных в Украине типов SIM-карт показало, что указанных проблем лишены только специальные карты, прошивка которых менялась до выхода в обращение. Изменения в стандартный набор программный набор SIM-карт вносились в связи с недавним внедрением технологии Mobile ID. В данном случае SIM-карта выступает в роли защищенного носителя информации, имеет на борту модуль криптографии и уникальные профили безопасности. Как выяснилось во время испытаний, SIM-карты с Mobile ID во всех случаях не инициируют выполнение несанкционированных команд извне, а в отдельных случаях просто не принимают такие сообщения.

Другими словами, вместо стандартного набора микропрограмм операторы прибегли к модификациям программного обеспечения SIM-карт для их использования в целях выполнения криптографических операций. Разумеется, это повлекло за собой последующую государственную экспертизу и повторную сертификацию таких специальных SIM-карт.

Так или иначе, внедрение Mobile ID, как оказывается, выполняет не только прямые функции электронной подписи в телефоне, а и дополнительно защищает сам телефон от зловредных атак.