Notícias

Nova ameaça permite realizar scam ao cartão SIM de milhões de utilizadores

17 Comentários

A segurança do cartão SIM sempre foi colocada em causa. Mesmo assim, é severamente usado para autenticação por dois fatores (2FA). Não obstante, uma descoberta recente publicada mostra uma brecha de segurança, em certos cartões SIM, que um atacante pode usar.

Através desta falha de segurança, o invasor pode aceder a vários dados da vítima, para além de controlar as operações efetuadas com o cartão. Segundo especialistas, centenas de milhões de cartões SIM estão em perigo.

Cartão SIM Dual SIM


No passado já vimos vários casos que demonstram as fragilidades dos cartões SIM. O caso recente mais emblemático foi o Simjacker, que toma domínio dos dispositivos das vítimas sem que estas se apercebam. Esta nova ameaça encontrada pelo Ginno Security Lab remete para a mesma realidade, mas com ainda mais utilizadores comprometidos!

Através do Wireless Internet Browser (WIB), o atacante consegue penetrar nos comandos do cartão SIM da vítima. Esta invasão pode ser feita remotamente e de forma simples. Para isso, basta apenas enviar uma SMS para a vítima com um link, que esta tem de abrir.

Ao enviar uma SMS maliciosa para o número de telefone da vítima, o invasor pode abusar das vulnerabilidades no WIB para controlar remotamente o telemóvel da vítima. A magnitude da vulnerabilidade no WIB espalha-se por todo o mundo e coloca centenas de milhões de utilizadores de telecomunicações em risco.

Depois de invadido, o telemóvel fica à mercê do invasor. De forma silenciosa, este pode realizar todo um conjunto de operações sem que a vítima se aperceba. Entre as quais realizar chamadas e enviar SMS, aceder ao browser, informação relativa ao IMEI e a localização precisa da vítima.

Mais perigoso é o facto de o utilizador não ter nenhuma noção de que está a ser atacado ou controlado. O equipamento não envia uma notificação a informar sobre a situação, não se apercebendo de todo do que está a decorrer nas suas costas.

Nova ameaça permite realizar scam ao cartão SIM de milhões de utilizadores Ginno Security Lab 2FA

A lista de cartões SIM ameaçados por esta falha é imensa, afetando centenas de milhões de utilizadores. Para estarem vulneráveis, basta que o seu cartão SIM esteja habilitado para WIB.

O Ginno Security Lab relatou a vulnerabilidade no WIB do cartão SIM à The GSM Association. Esta associação recomenda o uso do SIMtester, ferramenta open-source para verificar se o seu cartão está seguro ou não.

O Simjacker ataca igualmente o cartão SIM de forma silenciosa

Simjacker: Uma simples SMS pode comprometer o SIM do seu smartphone

PUB
Autor: Eduardo Mota
Partilhar:
Tags:
cartão SIM Segurança Sim WIB

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Elon Musk e Tesla estão a ser acusados de quebrarem as leis de trabalho nos EUA
Artigo anterior

Elon Musk e Tesla estão a ser acusados de quebrarem as leis de trabalho nos EUA
Infinitebook, o Caderno reutilizável português agora tem app para guardar apontamentos
Próximo artigo

Infinitebook, o Caderno reutilizável português agora tem app para guardar apontamentos
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Filipe
    Filipe

    “Esta invasão pode ser feita remotamente e de forma simples. Para isso, basta apenas enviar uma SMS para a vítima com um link, que esta tem de abrir.”

    Está resolvido o problema: não se abrir links. Mais uma vez, o problema não é (só) dos SIM. É do utilizador que clica em todo o lado e aceita tudo e abre todos os links sem se preocupar “porque só acontece aos outros”.

    Responder
    1. Avatar de ol++
      ol++

      +1

      Responder
    2. Avatar de maxgiger
      maxgiger

      Pois é. O que vi aqui é uma tentativa de dizer “hum, os cartões SIM nao sao seguros e estao ultrapassado. Venho o eSIM” No fim, a culpa fica sempre do lado do utilizador quando clica em links, tal como acontece nos emals, mensagens atraves do facebook e agora as sms…

      Responder
    3. Avatar de joao
      joao

      falar é facil. mais um pato que pensa que so aos outros é que acontece. basta alguem apanhar um telefone qualquer, enviar para todos os contactos desse telefone um sms convincente para abrir, e pimba todos esses contactos que abriram porque conheciam a pessoa….ja foram….

      Responder
    4. Avatar de Carlos
      Carlos

      +1

      Responder
  2. Avatar de Jose Lapao
    Jose Lapao

    Pelo que me apercebi o simtester é uma ferramenta que corre em PC logo temos de ter um leiror de cartões SIM para PC para poder testar. Não seria mais facil fazer uma aplicação para Android/iPhone/iPad/WindowsPhone assim qualquer pessoa podia testar.

    Vou tentar usar um modem USB para testar os meus SIMs

    Responder
  3. Avatar de Jose Lapao
    Jose Lapao

    Pelo que me apercebi o simtester é uma ferramenta que corre em PC logo temos de ter um leiror de cartões SIM para PC para poder testar. Não seria mais facil fazer uma aplicação para Android/iPhone/iPad/WindowsPhone assim qualquer pessoa podia testar.

    Vou tentar usar um modem USB para testar os meus SIMs

    Responder
  4. Avatar de Joao Ptt
    Joao Ptt

    E ainda os bancos insistem no SMS como única forma de segundo-factor de autenticação… estamos entregues aos bichos.

    Responder
    1. Avatar de Cristina Maria Busca Pinheiro
      Cristina Maria Busca Pinheiro

      Tem razão.
      Por isso mesmo quaisquer movimentos bancários devem ser feitos ao balcão ou nos multibancos

      Responder
      1. Avatar de Joao Ptt
        Joao Ptt

        Não tem de ser feito ao balcão, nem nos multibancos (em muitos multibancos até lhes colocam aparelhos para roubar os dados dos cartões).
        Bastava enviarem a informação para uma aplicação de mensagens segura e simples de usar como o Threema, ou um e-mail cifrado com S/MIME ou PGP, ou o próprio banco ter uma aplicação à parte para receber tal informação para depois a pessoa colocar ou confirmar nessa tal aplicação, à parte, do banco a operação… e assim estar dentro do espírito da lei.
        O SMS foi simplesmente a pior opção possível.

        Responder
        1. Avatar de Tuaregue
          Tuaregue

          foi a melhor das piores opções. pq a pior era n terem 2FA.

          Responder
  5. Avatar de David Guerreiro
    David Guerreiro

    Mesmo que algum dos nossos SIMs esteja vulnerável, vai-se pedir ao operador uma 2ª via, paga-se e recebe-se um SIM igualmente vulnerável.

    Aqui a regra de ouro é fazer nos SMS como se faz nos e-mail, não abrir links, especialmente quando o que nos prometem é bom demais para ser verdade.

    Responder
    1. Avatar de Joao Ptt
      Joao Ptt

      O problema, segundo compreendi, é que o SMS binário acede directamente ao cartão SIM, e faz as tais operações que não era suposto ser permitido, pelo menos a qualquer um.

      Responder
  6. Avatar de Samuel
    Samuel

    O mais seguro é ignorar as SMS e ir as caixas MB fazer as operações.

    Responder
    1. Avatar de PauloT
      PauloT

      + 1

      Responder
  7. Avatar de Joao Pedro Rodrigues
    Joao Pedro Rodrigues

    Pelo que percebi, não é só uma questão de pagamentos… E as chamadas telefónicas e afins?
    “Entre as quais realizar chamadas e enviar SMS, aceder ao browser, informação relativa ao IMEI e a localização precisa da vítima”.
    E será que não consegue aceder a outros dados do telemóvel, como contactos, notas, passwords, etc?

    Responder
  8. Avatar de Losange Nepomuceno
    Losange Nepomuceno

    Só falta chega no BRASIL!!!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.