WIBAttack. Так ли страшна новая уязвимость SIM-карт

    PWN or not


    [По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправлять SMS, совершать звонки, а также узнать информацию об IMEI и геолокации. Главная проблема в том, что уязвимость обнаружена в ПО самих SIM-карт и не зависит непосредственно от устройства. Любая эксплуатация злоумышленником будет незаметна для владельца, так как взаимодействие будет осуществляться непосредственно с WIB.


    Уязвимым является Wireless Internet Browser (WIB) компании SmartTrust, который используется подавляющим большинством операторов связи.


    Масштабы, заявленные исследователями, пугают… но попробуем разобраться, настолько ли она новая и такая уж опасная.


    Wireless Internet Browser (WIB)


    Это ПО используется для предоставления пользователям динамического меню функций SIM-карты. Например, когда человек пытается запросить баланс у сотового оператора из SIM toolkit. По сути это «вшитый» WAP-браузер, да, тот самый старый добрый веб-браузер нашей юности с WML (англ. Wireless Markup Language — «язык разметки для беспроводных устройств»), работающий по OTA SMS (Over-the-air).


    d37901d1.png


    OTA — технология с клиент-серверной архитектурой, позволяющая шлюзу оператора удаленно управлять данными SIM-карты посредством получения специальных сообщений для загрузки, активации сервисов на мобильном устройстве (например, твоя подписка на гороскоп, списывающая 100500 денег в месяц). При этом необходимо интернет-соединение: Wi-Fi, 3G, LTE и т.п.


    OTA-шлюз оператора через Short Message Service Centre (SMSC) отправляет сервисные SMS одному или нескольким устройствам.


    Взаимодействие устройства с SIM-картой осуществляется через операционную систему процессора телефона (RTOS, Baseband processor realtime operating system).


    И да, в твоем телефоне есть вторая ОС, которая имеет более приоритетный режим работы, чем Android/iOS.


    3ffe997b.png


    Инфраструктура OTA


    Over-The-Air (OTA) technology


    Реализация безопасности OTA


    Уровень защиты OTA SMS при передаче определяется первым байтом сообщения (заголовк MSL с битовой маской активных механизмов безопасности: шифрование, счетчики, контрольные суммы). Когда SIM-карта получает OTA SMS, то происходит сравнение MSL из SMS (MSLsms) с MSL, заданным в самой SIM-карте (MSLsim). Если значение MSLsim > MSLsms, то SIM-карта игнорирует команды OTA.


    При этом для разных сервисных приложений SIM-карты могут быть установлены разные MSL-заголовки. Целевое приложение определяется кодом в TAR-заголовке (3-байтовый Toolkit Application Reference).


    Подробнее можно посмотреть здесь: 3GPP TS 23.048


    Осуществление атаки


    9129b895.png


    Атака на WIB


    #WIBattack


    1. Для эксплуатации уязвимости злоумышленник должен отправить вредоносную OTA SMS.
    2. Устройство, получив SMS, выполнит APDU (application protocol data unit) команду ENVELOP COMMAND для передачи полученного в SMS TPDU (Transport Protocol Data Unit) из RTOS в WIB-браузер SIM-карты. Именно потому, что данная процедура будет происходить на уровне RTOS, жертва не заметит какой-либо активности.
    3. WIB-браузер выполнит команды, полученные в TPDU, и отправит соответствующую команду PROACTIVE COMMAND устройству, например, SETUP CALL, SEND SMS, PROVIDE LOCATION INFO.
    4. Устройство, следуя полученной от SIM-карты команде, выполнит соответствующее действие.

    Условия уязвимости OTA


    Вот мы и подобрались к самому интересному.
    Ниже несколько условий, при которых осуществима атака (любое из):


    • MSL-заголовок SIM-карты или целевого приложения равен 0 или без активации свойств шифрования KIc/KID.
    • При возможности rooting simcard: некоторые SIM-карты используют для ключей KIc/KID DES, взлом которых был продемонстрирован Dr. Karsten Nohl (Security Research Lab Berlin) на BlackHat 2013. С помощью радужных таблиц взлом осуществляется порядка 2 минут. С полученным ключом злоумышленник может подписывать SMS. По оценке Nohl, такого рода уязвимости подвержены порядка 750 млн SIM-карт на 2015 год. Более подробно и интересно можно почитать:
      SIM Cards Encryption Vulnerability: The Scope of the Problem | Kaspersky official blog
      Rooting SIM cards, BlackHat 2013
    • Ранее были известны случаи утечки данных, ведущие к компрометации KIc/KID-ключей.

    Резюмируя… «так ли страшен черт?»


    Несмотря на пугающие заявления, уязвимость сводится к случаям использования слабого шифрования, утечкам корпоративной информации и мисконфигам настроек безопасности.
    Также не совсем понятен вклад исследователей Ginno Security Lab, даже с оговоркой, что они знали об уязвимости в 2015 году. Тем более, что этот вектор по сути был уже рассмотрен Karsten Nohl в 2013 году.


    Реальную оценку количества уязвимых устройств на данный момент дать сложно. Судя по комментариям к теме Краткое введение в SIM-карты / Хабр, у наших операторов может быть всё вполне хорошо: Краткое введение в SIM-карты / Комментарии.


    P.S. В 2013 году уже был хайп по поводу уязвимостей, найденных Карстеном. И также всё пестрило новостями про надвигающийся апокалипсис. Но как и апокалипсис 2012 года...


    • +45
    • 12,3k
    • 5
    Инфосистемы Джет
    169,64
    Системный интегратор
    Поделиться публикацией

    Комментарии 5

      0
      И да, в твоем телефоне есть вторая ОС, которая имеет более приоритетный режим работы, чем Android/iOS.


      И не только вторая, RTOS есть для Bluetooth & Wi-Fi
        0
        Уязвимым является Wireless Internet Browser (WIB) компании SmartTrust, который используется подавляющим большинством операторов связи.

        Масштабы, заявленные исследователями, пугают

        Может «слили» закладку анбшников?
          0
          3GPP настолько суровы, что документы доступны только по ftp?
            +1
            Ни S@T, ни WIB не являются субъектами спецификаций 3GPP и ETSI. Это сторонние технологии, первую из которых в свое время активно продвигал SIM Alliance (у них на сайте доступны все спецификации). Из известных игроков на рынке, Gemalto предлагает валидацию и интеграцию S@T Browser: www.gemalto.com/companyinfo/about/merger/commitments/sim-browsing. И да, не только по FTP — HTTP прекрасно работает.

            А вот что действительно сурово, так это спецификации ETSI на DVD дисках :D
            webstore.etsi.org/ecommerce/ListArticle.asp

            Полный набор спецификаций GSM (на целых 4 дисках) можно заказать за 6 000,00 €.
            +2
            Так ли страшна новая уязвимость SIM-карт

            Реальную оценку количества уязвимых устройств на данный момент дать сложно.
            Судя по комментариям, [...] у наших операторов может быть всё вполне хорошо [...]

            К сожалению, статья ни о чем. Когда видишь такой заголовок, сразу возникают вопросы:

            • Как много операторов сегодня продолжают пользоваться этой устаревшей технологией (S@T, WIB)? На сколько я знаю, в Африке она до сих пор активно используется, но как обстоят дела в других уголках света, включая нашу необъятную страну?
            • Как защититься? Можно ли удалить или заблокировать эти апплеты? Очевидно, можно. Скажу больше, большинство адекватных операторов в России блокирует отправку нестандартных SMS (например, OTA) между абонентами. Более того, неугодные апплеты можно удалить получив OTA от оператора (благо, есть Card Manager).
            • Меня уже взломали? Могу ли я проверить наличие уязвимых апплетов на SIM-карте? Да! В публичном доступе уже давно доступен фаззер для SIM-карт — SIMTester от SRLabs, а также бесплатное приложение SnoopSnitch, которое мониторит активность Baseband-процессора в реальном времени (через отладочный интерфейс Qualcomm).


            На самом деле, лаборатория упоминаемого Вами Karsten Nohl опубликовала небольшую статью, где все разложено по полочкам и есть ответы почти на все эти вопросы: New SIM attacks de-mystified, protection tools now available. Советую почитать.

            Небольная выдержка:

            На основании результатов анализов 800 SIM-карт, можно сказать следующее:
            S@T Browser установлен на 9.4% из всех протестированных,
            из которых 5.6% уязвимы к SimJacker (MSL=0, не требуют подписи OTA).
            WIB установлен на 10.7% из всех протестированных,
            из которых 3.5% уязвимы к аналогичным атакам (MSL=0).
            Суммарно 9.1% из 800 протестированных SIM-карт уязвимы.

            На основании анализа собранных данных на сайте gsmmap.org:
            как минимум 8 абонентов получили OTA SMS, адресованных S@T Browser,
            первый случай был зафиксирован еще в 2016 году,
            большинство абонентов были из Южной и Латинской Америки.


            Кроме того, на сайте SIM Alliance еще в августе (до официального объявления уязвимости) были опубликованы Security Guidelines for S@T Push для операторов.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое