Uusi haavoittuvuus käyttää puhelimen SIM-kortin OTA-komentoja
Uusi WIBattack (WIB = Wireless Internet Browser) -haavoittuvuus perustuu selaintekniikkaan mutta nyt modernilla SIM-kortilla, jossa toimii oma WIB-työkaluohjelmisto. Hyökkäysmallissa haittakoodia sisältävä tekstiviesti puhelimessa operoi suoraan SIM-kortilta käsin, ja lähettää viestejä, välittää hyökkääjälle puhelimen sijaintitietoja sekä ottaa puhelinyhteyksiä. Lisäksi haitake ohjaa ja määrittää selaintoimintoja: SIM:ltä käsin koodi esimerkiksi ohjaa käyttäjän tietylle verkkosivustolle. Maineikas Ginno Security Lab on arvioinut, että WIB-alustan kautta hyökkääjä voi tuottaa puhelimen näytölle tekstiä ja ohjeita. Kuulostaa pahalta.
“Lähes scifiltä kuulostava toiminto”
Simjacker-nimen saanut koodi oli lajissaan ensimmäinen, uudenlainen. Se toimii näkymättömillä tekstiviesteillä SIM-kortteihin upotettujen, dynaamisten SIM-selaintyökalusarjojen avulla. Tämä jo lähes scifiltä kuulostava toiminto on mahdollinen, mutta sitä ei vielä ole tavattu Suomessa. On kuitenkin hyvä tietää, että tämä tietoturva-aukko mahdollisti puhelimen kaappaamisen käyttäjälle. WIBAttack edustaa samaa tekniikkaa kuin Simjacker, ja ikään kuin jatkaa siitä, mihin edeltäjä jäi. Koska haittakoodi on SIM-korttipohjainen, se on myös riippumaton käyttöjärjestelmistä ja selaimista: SIM-korttiin tallennettuja valikkoja voidaan hallita ja päivittää OTA-komentojen avulla millä puhelimilla tai älylaitteilla tahansa.
Over the air (OTA)
Hyökkäys alkaa hyökkääjän matkapuhelimen tekstiviestillä; hyökkääjät lähettävät uhrin puhelinnumeroon haitalliset OTA-tekstiviestit, jotka sisältävät WIB-komennot. Mahdollisuus OTA-komentojen konfigurointiin taas tarkoittaa, että haavoittuvuuden piiriin tulevat myös radiolinkkitekniikat Sigfox, LoRa ja kenties myös NB-IoT.
SRLabs rauhoittelee pelkoja, SIM-korteista vain 11 prosentilla WIB-työkalupakki olisi vaarallisesti auki. Näistä taas alle puolet on Simjacker- ja WIBattack- tyyppisen haittakoodien potentiaalisia saaliita. Haittakoodit löytävät kohteeseensa puhelimelle mm. somepalvelujen kautta. Sosiaalisen median nuorisoa kosiskelevassa mobiilinettipalvelu TikTokissa on paljastunut vakava vuoto, joka todennäköisesti käytti hyväkseen myös WIB-arsenaalia.
Nuorten suosimia sovelluksia
Tunkeutujat ovat voineet lähettää nuorille käyttäjille huijaustekstiviestejä, joissa tavatun linkin kautta on saatu käyttöoikeudet. TikTok, Kiinassa myös nimellä Douyin, on lyhyiden videoiden jakamiseen tarkoitettu mobiilisovellus. TikTokin on julkaissut ja sitä kehittää kiinalainen ByteDance. Sovelluksen suosio alkoi kasvaa maailmalla merkittävästi vuonna 2018 – ja pian myös Suomessa.
Näin kyberrikolliset ovat päässeet tutkimaan käyttäjätilien sisältöjä ja poimimaan niille tallennettuja, myös erittäin henkilökohtaisia tietoja ja videoita, tietoturvayhtiön Check Point tiedottaa. TikTok-tilin pääkäyttäjäoikeudet haltuunsa saanut hyökkääjä pystyy poistamaan videoita tai lataamaan luvattomia videoita.
Hyökkääjä, joka operoi WIB:n kautta pääsee halunsa mukaan käsiksi yksityisiin ja piilotettuihin videoihin. Sosiaalisen median sovellukset eivät silti ole erityisen alttiita haavoittuvuuksille. Ne sisältävät paljon yksityisiä tietoja, ja ovat siksi nyt suosittuja kohteita hyökkääjille. Rikolliset ovat melkoisia neropatteja, ja valmiita satsaamaan siihen, että suosituista sovelluksista löytyy heidän käyttöönsä sopivia turva-aukkoja.
Tietosuojavaltuutettu Reijo Aarnion mukaan jatkossa käyttäjien tulisi seurata, miten TikTokin ja sen kaltaisten sovellusten turvallisuutta arvioidaan julkisessa keskustelussa. Oikein.
KUVALÄHDE: ZDNet.com