【防禦不能】SIMjacker漏洞 一收惡意SMS所有手機都中招
唔好講咁多,即刻掹咗張 SIM 卡出嚟先,因為最新發現嘅呢個漏洞,正影響緊全球 10 億以上流動網絡用家,黑客只要發出一個含有惡意代碼嘅 SMS,就可以發動 SIMjacker 攻擊,喺你部裝置上面執行惡意程式,暗中控制你部裝置,包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡,甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上,所以無論你用邊款手機,以及各種可以插 SIM 卡上網嘅裝置,例如平板電腦、IoT 裝置,統統走唔甩,而且暫時係完全無修補方案,你話除咗掹 SIM 卡靠 Wi-Fi 上網之外,仲可以點做呢?
呢個核彈級 SIM 卡漏洞,係由 AdaptiveMobile Security 研究員所發現,佢哋指出已有明顯證據,顯示呢個漏洞已被利用咗兩年,而且仲不開名指明係由一間私人公司為咗協助政府監控目標人物而做!
古老功能新卡照Keep
SIMjacker 攻擊到底係點發生嘅呢?原來黑客利用緊一個存在咗好多年嘅 SIM 卡功能 S@T Browser,佢係一款 SIM 工具,主要用嚟俾網絡供應商向用戶發送設定指示、傳送短訊和增值服務嘅工具,換言之,只要收到呢個利用 S@T Browser 嘅 SMS,系統就會自動執行入面嘅指令,完全唔需要用家嘅參與,所以用家係唔會知道自己已經中咗招。研究員話 S@T Browser 技術雖然已被其他新科技所取代,但依然會被放入 SIM 卡或 e-SIM 卡之上,而且技術設定由 2009 年後已無再更新。
為咗測試呢種攻擊嘅影響力有幾大,AdaptiveMobile Security 研究員攞咗 Apple、ZTE、Motorola、Samsung、Google、華為嘅流動上網裝置,以及其他附有 SIM 卡嘅 IoT 產品嚟測試,發現全部都可以用嚟執行 SIMJacker 攻擊,同時亦喺 30 個以上國家嘅網絡商上發現有內置呢項功能,所以估計至少有 10 億用家受到影響。
打上台停收SMS?
現階段有乜嘢補救措施?研究員話已經同佢哋合作嘅網絡供應商一齊攔截含有惡意代碼嘅 SMS,佢哋亦通知咗 GSM Association 及 SIM alliance 兩間同流動網絡技術有關嘅全球性組織,研究緊點樣喺未來杜絕類似嘅攻擊。而要阻止黑客攻擊用家,網絡供應商可以分析及攔截有可能觸發 S@T Browser 嘅 SMS,又或研究點樣遙距刪除呢個功能,不過後者就需要更多時間。研究員將會喺 10 月 3 日嘅 Virus Bulletin Conference 上公布更多 SIMJacker 嘅細節,但估計今次公布漏洞內容後,將會有更多黑客嘗試利用漏洞嚟發動攻擊,所以建議網絡供應商要盡快攔截呢啲惡意 SMS。至於用家方面,記者先後向 3HK 及 Smartone 嘅技術支援部門查詢,客戶係可以選擇停收所有 SMS,不過一定要打上台設定,唔可以喺手機上開閂,問題就嚟嘞,而家做 2FA 驗證好多時要收 SMS,你話有乜可能次次做之前都打上台搞呢?