El problema de que se avejente una tecnología está en cuando lo que queda viejo es central. Tal parece ser el caso de los smartphones, están 100% centrados en un universo digital y básicamente internético, por lo que la seguridad de su faceta de teléfono celular pasa a un quinto plano. Esto hace que las usuarias estemos expuestas al tipo de maniobra que te comentamos hoy.
Según denunció AdaptativoMobile Security, es posible explotar vulnerabilidades en smartphones a partir del envío de un SMS, de tal forma de que te permita encontrar la ubicación de cualquier dispositivo capaz de recibir uno de estos mensajes.
Básicamente lo que hace Simjacker, es aprovechar una vulnerabilidad de las tarjetas SIM para tomar el control de algunos de los datos principales del dispositivo. El ataque se produce a través de un SMS que permite saltarse el sistema operativo para acceder a una pieza de software que se llama Navegador S@T. Este tipo de ataques a la SIM hace posible espiar la ubicación de cualquier número de teléfono.
El riesgo está en que como usuarias no tenemos una forma de tomar recaudos de este tipo de mensajes, ya que producto del formato que utilizan, los SMS nunca llegan a la bandeja de entrada del teléfono.
Hay más
Algo interesante de Simjacker es que te permite espiar la ubicación de un teléfono saltándose los criterios de seguridad del sistema operativo. Pero esto no es lo único, también con las instrucciones UICC (el tipo de tarjetas que usan los teléfonos para conectarse a las redes de telefonía), podés adquirir otros datos que son también interesantes. Algunas otras funciones que podés hacer con este tipo de técnicas son:
- Espionaje: más allá de que podés obtener la ubicación, esta intrusión permite llamar al teléfono para activar el micrófono y de esta manera poder escuchar todo lo que sucede en el lugar en que está el equipo.
- Desinformar: enviar SMS y MMS con contenido controlado.
- Fraude: llamar a números premium desde tu teléfono (la llamada la pagás vos y la cobra quien te ataca).
- Malware: podés abrir páginas web desde un SMS y de esa manera inyectar un malware.
- DDoS: podés anular una tarjeta SIM y de esa manera dejar a alguien sin teléfono.
- Obtener datos del teléfono en general (lenguaje, tipo de radio, nivel de batería, etc..).
O sea que con esto, podría chequear dónde está alguien, escuchar si está con más personas, enviar un SMS a algún contacto advirtiendo que me quedaré sin señal, denegarle el servicio para que no tenga señal, chequear cuánta batería tiene para que la misma persona no note que está sin teléfono y concurrir a secuestrarla, todo mandando un SMS por menos de 4 pesos.
La agencia denunciante del caso sostiene que este tipo de ataque son factibles hace alrededor de dos años. No han revelado información en concreto, pero aseguran que es una técnica desarrollada por una agencia privada que colabora con los gobiernos.
Para hacer esta denuncia tomaron por muestra un país en específico y registraron un promedio de 100 a 150 ataques por día. En base a esa información recopilar una gráfica donde indican el promedio de ataques que recibe cada número de teléfono.
Estos son algunos de los datos que publicaron al respecto.
- El 47% de los números afectados solo recibió un ataque durante la semana.
- La media es de dos ataques por número de teléfono.
- La media de ataques recibidos es de cinco por número.
- Hay una pequeña cantidad de números que reciben decenas de ataques a la semana; existiendo casos incluso de 250 ataques a la semana.
El nivel de penetración que tienen sobre nuestras vidas es tan alto que ya nos tiene sin cuidado, producto de que pensamos que no hay forma de escapar (y hasta es probable que no lo haya), pero este tipo de informaciones aportan otro punto de vista.
¿Qué hacer?
Migrar de Android stock a uno libre como Replicant o a uno comunitario como LineageOS. O… dejar de usar un número de teléfono. Vas a extrañar WhatsApp, pero todavía tenés Telegram.
¡Happy Hacking!
