Chuyên gia cảnh báo lỗ hổng trên thẻ SIM điện thoại

16/09/2019 - 18:56

Các nhà nghiên cứu vừa tiết lộ sự tồn tại của lỗ hổng bảo mật nghiêm trọng liên quan đến thẻ SIM điện thoại, có thể cho phép các hacker (tin tặc) tấn công điện thoại di động của người dùng từ xa và theo dõi nạn nhân chỉ bằng cách gửi tin nhắn SMS.

A A

Cảnh báo được đưa bởi công ty bảo mật có tên AdaptiveMobile Security sau khi các nhà nghiên cứu của công ty này phát hiện một lỗ hổng bảo mật được đánh giá là rất nghiêm trọng đối với thẻ SIM điện thoại, một vật dụng công nghệ khá quen thuộc và được hàng tỷ người dùng diện thoại di động trên thế giới sử dụng hiện nay.

Cụ thể, lỗ hổng bảo mật được các chuyên gia của AdaptiveMobile Security đặt tên là “SimJacker”, được xác định tồn tại trong một phần mềm có tên gọi S@T Browser (bộ công cụ SIM động), được tích hợp trên hầu hết các thẻ SIM điện thoại hiện nay, trong đó có cả eSIM và đã được thiết kế để cho phép các nhà mạng di động cung cấp một số dịch vụ cơ bản, đăng ký và các dịch vụ giá trị gia tăng qua mạng cho khách hàng của họ. 

AdaptiveMobile Security đưa ra nhận định cho rằng, lỗ hổng vừa được phát hiện trên thực tế được phát triển bởi một công ty tư nhân làm việc với các chính phủ để giám sát vị trí của các cá nhân trên khắp thế giới. Việc khai thác cũng có thể giúp những kẻ tấn công có được số IMEI duy nhất thuộc về mỗi điện thoại.

Các chuyên gia của AdaptiveMobile Security đã thử nghiệm thực hiện cuộc tấn công bằng cách gửi cho điện thoại mục tiêu một tin nhắn SMS có chứa các định dạng và lệnh đặc biệt được truyền trực tiếp đến thẻ mạch tích hợp phổ dụng giúp SIM hiện đại hoạt động.

Tin nhắn có chứa các lệnh cho chương trình này chạy trên ứng dụng thẻ SIM là S@T Browser. Các lệnh khiến S@T Browser gửi vị trí của duy nhất IMEI của thiết bị trong một tin nhắn SMS riêng đến một số được chỉ định bởi kẻ tấn công. Ngoài ra, SimJacker cũng có thể khiến điện thoại thực hiện cuộc gọi, gửi tin nhắn văn bản hoặc một loạt các lệnh khác.

Theo một ước tính ban đầu của công ty bảo mật AdaptiveMobileSecurance, có ít nhất hơn 1 tỷ người dùng vẫn đang sử dụng công nghệ S @ T này và đều nằm trong diện bị ảnh hưởng bởi lỗ hổng trên.

Theo Công An Nhân Dân