Дослідники безпеки з компанії Adaptive Mobile Security випустили звіт про нову уразливість на ім’я Simjacker. Вона використовує SIM-карту вашого телефона, щоб шпигувати за вами. В результаті, це може торкнутися понад 1 млрд мобільних телефонів. Дослідницька фірма вважає, що уразливість була розроблена приватною компанією, яка працює з урядами, щоб відстежувати місцезнаходження людей по всьому світу. Експлойт також може допомогти зловмисникам отримати унікальний номер IMEI, що належить кожному мобільному пристрою.
Деякі SIM-карти, що поставляються GSM-операторами, містять так званий браузер S@T, який можна знайти в SIM Application Toolkit. Після того, як Simjacker використовувався для запуску браузерів (наприклад, браузерів WAP, які можна знайти на старих телефонах), він відправляє двійкове SMS-повідомлення в браузер з інструкціями, щоб отримати дані про місцезнаходження і номера IMEI. А також відправити інформацію на пристрій зловмисника за допомогою бінарного SMS. Оскільки смартфони можуть використовувати HTML-браузери, браузер S@T застарів. Незважаючи на цей факт, Adaptive Mobile Security виявив, що оператори в 30 країнах, що представляють більше 1 млрд користувачів мобільних телефонів, мають активну технологію S@T.
Теоретично, всі марки та моделі мобільних телефонів відкриті для атаки. У звіті зазначалося, що Simjacker щодня відстежує окремих осіб, а деякі конкретні номери телефонів відслідковуються сотні разів протягом семиденного періоду. Для стеження за уразливим телефоном потрібен дешевий GSM-модем, щоб відправити повідомлення на SIM-карту з технологією браузера S@T. Використовуючи SMS, які не збігаються зі звичайними текстовими повідомленнями, телефони можуть бути «проінструктовані», щоб збирати запитану інформацію і поширювати її шахраєві. У звіті про дослідження відзначається, що «під час атаки користувач абсолютно не знає, що він отримав атаку, що інформація була витягнута і що вона була успішно відфільтрована».
Єдиний позитивний момент у цій атаці полягає в тому, що вона спирається на більш старі технології, які в теорії повинні бути згорнуті. Але поки технологія S@T не буде повністю видалена з усіх SIM-карт, Simjacker залишається загрозою.