Uma brecha de segurança no cartão SIM permite que um invasor que faça proveito da falha possa conseguir vários dados pessoais do dono do cartão e até mesmo controlar operações efetuadas com o SIM. Especialistas estimam que centenas de milhões de cartões possam apresentar a brecha.

Já se viu casos anteriores que demonstram as fragilidades dos cartões SIM. O caso recente mais emblemático foi o Simjacker, que toma domínio dos dispositivos das vítimas sem dar qualquer sinal. A nova brecha foi detectada pelo Ginno Security Lab, que possibilita praticamente a mesma forma de ataque com ainda mais usuários disponíveis como vítimas.

Através do Wireless Internet Browser (WIB), é possível atingir comandos do cartão SIM da vítima. Esta invasão pode ser feita remotamente e de forma simples. Para isso, basta apenas enviar uma SMS para a vítima com um link, e se ela abrir o dispositivo já está comprometido.

O envio do SMS permite abusar das vulnerabilidades no WIB para controlar remotamente o aparelho, e pela escala mundial da brecha de segurança, algo deve ser feito pelas operadores de telefonia para garantir novamente a segurança dos cartões SIM. Não existe na mídia, até então, relatos de invasões utilizando especificamente essa nova brecha, mas é claro que o número de casos em todo o globo é algo difícil de se controlar, e até mesmo de se identificar, uma vez que muitas vezes a vítima nem sequer sabe que é vítima.

Representação da invasão - The GSM Association

Após uma invasão, as possíveis ações são diversas, desde realizar chamadas e enviar SMS até mesmo abrir o browser , informação relativa ao IMEI e a localização precisa da vítima. Para que um cartão seja confirmado como vulnerável, basta que esteja habilitado para o WIB.

O Ginno Security Lab relatou a vulnerabilidade no WIB do cartão SIM à The GSM Association. Essa associação recomenda o uso do SIMtester, ferramenta open-source para verificar se o seu cartão está seguro ou não.