近日,国外有家安全公司披露了SIM卡的一个漏洞。该漏洞被称为“Simjacker”,它处理的是名为S@T浏览器的SIM卡中的旧软件技术,最近一次更新是在2009年。通过该漏洞向手机发送一条短信,短信中包含一种特定类型的代码,便可以远程操控SIM卡发出命令,控制手机,从而执行敏感命令,追踪手机的位置,并有可能接管该设备。
目前至少有30个国家的移动运营商使用了S@T浏览器技术,影响手机用户总数超过10亿。
Simjacker攻击只需要发送一条短信,其中包含一种特定类型的间谍软件代码被发送到手机,然后手机会指示手机内的UICC(SIM卡)“接管”手机,并按顺序检索和执行敏感命令。此Simjacker攻击消息,从另一个手机,通过GSM调制解调器或连接到A2P账户的SMS账户进行发送,其包含一系列SIM工具包(STK)指令,并专门设计成可以传递到UICC / eUICC(SIM卡)设备内。
S@T(发音为sat)浏览器(SIMalliance Toolbox浏览器),是SIMalliance指定的应用程序,可以安装在各种UICC(SIM卡)上,包括eSIM。其最初目的是启用诸如通过SIM卡获得账户余额等服务。在全球范围内,其功能已大部分被其他技术取代,其规范自2009年以来尚未更新,但是,与许多传统技术一样,它仍然在后台使用。
安全问题无处不在,提高些安全意识总是好的。建议大家给手机设置PIN码,可以从一定程度上降低因手机丢失带来的个人信息进一步泄露的风险。