Cuántos móviles están expuestos al hackeo por SMS de WIBAttack en el mundo
Descubren una vulnerabilidad que permite hackear un smartphone a través de los mensajes SMS.
El WhatsApp de antaño, los mensajes SMS y MMS quedaron relegados cuando las aplicaciones de chat en tiempo real cobraron protagonismo. Pero siguen existiendo, y son muy usados para fines promocionales, informativos y como elementos en sistemas de seguridad como la verificación en 2 pasos o los pagos online. Aunque, por desgracia, también están siendo usados para poner en práctica ataques con malware, ransomware o Phishing a través de los móviles.
WIB: Wireless Internet Browser
Un STK o Sim Tool Kit es una aplicación de sistema para gestionar servicios que las operadoras suelen instalar en las tarjetas SIM que brindan a sus clientes. Su propósito es el de permitir una gestión a distancia en los dispositivos de los clientes y en sus suscripciones móviles. Los operadores suelen usar o las apps STK estáticas que vienen con un menú fijo pre-instalado, o como alternativa una SIM toolkit dinámica, en la que los menús y diálogos de usuario son generados al vuelo partiendo de los datos de un servidor central.
Las aplicaciones SIM que brindan esta funcionalidad dinámica suelen ser conocidas como SIM-browsers / navegadores SIM, y actualmente hay dos disponibles, siendo uno de ellos el WIB, Wireless Internet Browser, el primer navegador lanzado y promocionado en el mercado por la compañía SmartTrust. Usando el WIB, el menú para las apps STK viene almacenado en la SIM, y puede ser gestionado y actualizado usando servicios OTA, como los parches que recibes a diario en tu móvil.
La vulnerabilidad WIBAttack
Investigadores de la compañía de seguridad online Ginno Security Labs han descubierto una vulnerabilidad en el browser WIB que amenaza a “cientos de compañías de telecomunicaciones suscriptoras [de WIB] en todo el mundo” que funciona atacando a través de un mensaje con código malicioso a la vulnerabilidad presente en el navegador sim WIB presente en la tarjeta SIM del teléfono. A través de esta, un hacker puede obtener el control remoto del terminal y:
- Enviar SMS
- Hacer llamadas
- Obtener la posición GPS del terminal
- Obtener el número IMEI
- Abrir una página web específica
- Mostrar texto en la pantalla del móvil
- Reproducir un tono del terminal
Según los expertos de Ginno, “la vulnerabilidad de seguridad viene de la tarjeta SIM, sin depender ni del dispositivo móvil ni del sistema operativo, por lo que cada smartphone está afectado”.
Descubierto en 2015
Así es, según el post en el blog de Ginnoslab, descubrieron el exploit de WIBAttack en 2015 junto al de Simjacker attack (llamado S@Tattack), aunque es ahora cuando están haciendo público su capacidad de daño. Pero según un informe del equipo de expertos en seguridad de Telecomunicaciones y móviles SRLabs recibido por la web ZDNet, las previsiones de Ginno pueden ser algo exageradas, ya que no todos los móviles se ven afectados.
Tras hacer un estudio por todo el mundo usando la app SIMTest en 800 tarjetas SIM probadas, estos son los resultados de esa investigación:
- Sólo un 9,4% de las SIM probadas tienen S@Tattack instalado, y de estas sólo un 5,6% de las SIM son vulnerables a Simjacker debido a que su nivel de protección fue puesto en 0.
- Sólo un 10,7% de las SIM probadas tienen WIB instalado, y de estas sólo un 3,5% son vulnerables a un ataque QIBAttacl similar al de Simjacker
- De todas las tarjetas probadas, sólo un 9,1% eran vulnerables a ataques contra el S@t o el WIB.
Asimismo, de más de 500.000 usuarios de la aplicación Android SnoopSnitch, una app de código abierto que sirve para probar la seguridad de los smartphones y de las redes móviles, sólo 8 usuarios desde 2016 reportaron haber recibido unos 29 mensajes SMS OTA concernientes a la vulnerabilidad S@t, siendo la mayoría de Sudamérica.
La conclusión de SRLabs es que obviamente el WIBAttack existe y puede ser usado, pero que no es tan peligroso ni popular comparado con otros como SS7 o el ’SIM swap’, y no son tantos los teléfonos móviles que están expuestos a él.