Oppdatert: Telenors kommentar er nå lagt inn i saken.
For litt siden meldte digi.no om en sårbarhet på SIM-kortet som kan brukes av hackere til å spore brukere bare ved å sende en SMS-melding. Nå har det dukket opp en ny, lignende sårbarhet, melder ZDNet.
Den nye sårbarheten har fått navnet WIBattack og ble omtalt av sikkerhetsselskapet Ginno Security Lab nylig. WIBattack skal være mer eller mindre identisk med Simjacker-sårbarheten som dukket opp tidligere denne måneden.
Farlige SMS-er
Det vi si at den legger til rette for angrep hvor en hacker sender en SMS-melding med en ondsinnet kode, såkalte SIM Toolkit-instruksjoner (STK), som kommuniserer med programvaren på SIM-kortet.
Koden er i stand til å instruere SIM-kortet til å utføre kommandoer, starte programmer og hente inn informasjon på offerets mobiltelefon, deriblant lokasjonsdata.
Forskjellen mellom de to er imidlertid at Simjacker-sårbarheten ligger i SIM-kortprogramvaren kalt S@T Browser, mens WIBattack-sårbarheten ligger i en annen programvare som er innebygget på SIM-kortet – nemlig Wireless Internet Browser (WIB).
I forbindelse med Simjacker-saken opplyste Telenor i en Twitter-melding at deres kunder ikke er rammet, da Telenor ikke benytter S@T Browser-programvaren på deres SIM-kort.
Som Ginno Security Lab opplyser i sin artikkel er imidlertid WIB-programvaren utviklet av SmartTrust, som er markedsledende innen programvare for SIM-korthåndtering. Telenor er blant selskapets kunder, men i en kommentar til Digi.no opplyser Telenor at faren er begrenset.
Kun noen kort er rammet
– Telenor har WIB på våre SIM-kort, men det er imidlertid kun kort produsert i tidsrommet 2002 til 2010 som har denne sårbarheten. Det er relativt få av disse som fortsatt er aktive, og vi jobber med videre håndtering av dem. Telenor har i tillegg SMS hjem-ruting og restriksjoner på sending av OTA SMS noe som ytterligere reduserer sannsynligheten for utnyttelse av den og liknende sårbarheter, sier kommunikasjonssjef i Telenor Fredrik Tangeraas i en kommentar til Digi.no.
ZDNet har for øvrig mottatt en rapport fra sikkerhetsselskapet SRLabs som indikerer at verken S@T Browser- eller WIB-progamvaren er særlig utbredt.
Selskapet laget en test-app for SIM-kort, og basert på testdata fra 800 SIM-kort var det kun 9,4 prosent som hadde S@T-applikasjonen installert, mens bare 10,7 prosent hadde WIB installert på SIM-kortet.
Ginno Security Lab sier de har informert GSM Association om funnene sine, men organisasjonen har i skrivende stund ikke kommentert saken.
Les også: Feil i iOS og iPadOS: Tastatur-apper kan få full tilgang selv om du ikke har gitt tillatelse »