Mais de um bilhão de celulares no mundo inteiro – inclusive milhões deles no Brasil – estão vulneráveis. Eles podem fazer chamadas, enviar SMS ou informar sua localização sem que o dono saiba. A afirmação é da empresa AdaptiveMobile, ao anunciar no dia 12 a descoberta de uma falha nos chips das operadoras (SIM), batizada como nome de Simjacker. Na última quinta-feira, a empresa Ginno Security Lab também anunciou a existência de uma segunda falha do mesmo tipo e com o mesmo impacto na segurança dos aparelhos. A conclusão das duas empresas é que todos os aparelhos estão vulneráveis, independente da sua marca.
Essas falhas permitem ligações, envio de SMS e outras ações, sem que nada fique registrado no celular. Ao anunciar a descoberta, a AdaptiveMobile informou que essa vulnerabilidade pode alcançar mais de um bilhão de telefones móveis nas Américas (incluindo o Brasil), África ocidental, Europa, Oriente Médio e outras regiões onde essa tecnologia do chip esteja em uso. Na próxima quarta-feira a
A falha está num conjunto de ferramentas e funcionalidades embutidos nos chips das operadoras. Elas servem, por exemplo, para que a operadora configure o telefone à distancia ou ofereça serviços, simplesmente enviando uma série de mensagens SMS ao telefone. Quando a comunicação exige uma resposta do usuário, ela acontece por meio de browsers muito simples, que são o S@T Browser e o WIB Browser. As vulnerabilidades estão justamente nessas duas aplicações: pode-se enviar aos browsers um SMS criado especialmente para explorar as falhas, conseguindo-se assim o controle do telefone (assista ao vídeo da Ginno para conferir a prova-de-conceito).
A AdaptiveMobile acredita que a vulnerabilidade do S@T esteja sendo explorada há dois anos “por um agente de ameaças altamente sofisticado, em vários países, principalmente para fins de vigilância”. Em outras palavras a empresa acredita que uma empresa espiona cidadãos no mundo inteiro utilizando esse recurso. No comunicado do Ginno Security Lab, o pesquisador Lakato publicou um relatório dia 21 contando que o Lab descobriu (mas não publicou) as duas vulnerabilidades em 2015.
Os ataque aos dois browsers nos aparelhos das vítimas começam no recebimento do SMS previamente preparado. Assim que a mensagem é recebida, ela utuiliza a biblioteca de funções do S@T Browser e do WIB Browser como ambiente de execução. A partir daí, o invasor pode acionar o celular para ações como tocar um som, enviar SMS, fazer uma chamada, enviar mensagens interativas ao usuário, obter informações do aparelho e do local onde ele está (mesmo sendo um dispositivo de Internet das Coisas com chip) e acionar o browser. Para fazer isso ele pode usar um celular, um modem celular ou mesmo um computador com acesso a uma conta de envio de SMS.
