SIM 卡早前才被曝出存在一個嚴重的漏洞 Simjacker。
第一波:Simjacker 漏洞
黑客可利用SIM卡功能「S@T Browser(讓網絡供應商向用戶發送設定指示、傳送短訊和增值服務工具)」發動「Simjacker」攻擊。
黑客可以透過發出含有惡意代碼的SMS 短訊,指示 SIM卡控制手機,並且強制執行指令。指令包括報告位置、手機編號(IMEI)、傳輸數據、發出假訊息、甚至停用SIM 卡等,其間用戶不會知悉正被攻擊。
正當大家擔心以上漏洞時,安全研究人員又有發現了另外一個 SIM 卡漏洞,可發送短信和電話位置數據信息。
第二波:WIBattack 漏洞
Ginno 安全實驗室已經詳細介紹了這一新漏洞:WIBattack。該漏洞危及到一些 SIM 卡上的 WIB (無線互聯網瀏覽器)應用程序,以控制關鍵的電話功能。和 Simjacker 一樣,WIBattack 也是通過短信方式感染手機。
攻擊短信會在沒有啟用關鍵安全功能的SIM卡上運行指令。一旦成功,入侵者可以發送信息,啟動呼叫,並將受害的網絡瀏覽器指向特定的站點,顯示文本和發送位置信息。
該漏洞可用於跟蹤設備的位置、將用戶指向網絡釣魚網站、收取長途電話費用等等。
