В SIM-картах найдена уязвимость Simjacker, позволяющая следить за людьми, сообщает исследовательская компания AdaptiveMobile Security.

Злоумышленники могут прибегнуть к ней независимо от марки устройства пользователя. По данным экспертов AdaptiveMobile Security, данную атаку регулярно совершали в течение последних двух лет. Подобную уязвимость зафиксировали на устройствах многих производителей, включая Apple, Samsung, Google, HUAWEI и других. 

Уязвимость находится в программном обеспечении SIMalliance Toolbox Browser (S@T Browser), встроенном в большинство SIM-карт, которые используются мобильными операторами как минимум в 30 странах мира.

S@T Browser представляет собой приложение, которое устанавливается на SIM-карты, в том числе и на eSIM, как часть SIM Tool Kit (STK). Оно предназначено для того, чтобы мобильные операторы могли предоставлять своим клиентам разные базовые услуги.

S@T Browser содержит ряд инструкций STK, таких как отправка сообщений, настройка звонков, запуск браузера, предоставление локальных данных, запуск по команде и отправка настроек, которые могут быть активированы сообщением.

Используя GSM-модем, злоумышленники могут отправить на мобильный поддельное сообщение, содержащее вредоносный код. С помощью кода возможно: получить местоположение целевого устройства и его IMEI, распространять любую информацию путем отправки поддельных сообщений от имени пользователей, совершать звонки на платные номера, загружать вредоносные программы, отключать SIM-карту.

По словам исследователей, одной из главных причин существования Simjacker сегодня - использование устаревших технологий в SIM-картах, спецификации которых не обновлялись с 2009 года. Специалисты уже сообщили о своем открытии в Ассоциацию GSM -  это торговая организация, которая представляет интересы операторов мобильной связи по всему миру.