Lücke in SIM-Karten jahrelang zur Überwachung genutzt

Potenziell sind Milliarden von Geräten weltweit von der von den Sicherheitsforschern von AdaptiveMobile Security entdeckten Schwachstelle betroffen. Über eine spezielle SMS können Angreifer auf SIM-Karten zugreifen und dort Befehle ausführen. Sie können auf den Geräten etwa Standortdaten abfragen, Gespräche mithören und die Smartphones übernehmen, heißt es in einem Blogeintrag von AdaptiveMobile Security. Die Nutzer bekommen davon nichts mit.

Zielpersonen in mehr als 30 Ländern ausspioniert

Laut den Sicherheitsforschern wurde die Simjacker genannte Schwachstelle auch aktiv ausgenutzt. Ein Überwachungsunternehmen soll über die Lücke mindestens zwei Jahre lang in mehr als 30 Ländern – vorwiegend im Nahen Osten, Nordafrika, Asien und Osteuropa – Zielpersonen ausspioniert haben.

Betroffen sind SIM-Karten mit einem sogenannten S@T Browser, der sonst dazu genutzt wird um Aktionen am Smartphone – etwa das Öffnen eines Browsers oder das Abspielen von Sounds - auszuführen. Simjacker nutzt S@T auch dazu, um Daten aus dem Smartphone zu schleusen und Malware nachzuladen.

Den Namen des Überwachungsunternehmens nennen die Forscher nicht. Es handle sich um eine große Sicherheitsfirma, die im Auftrag von Regierungen arbeite, um Individuen zu überwachen, schreiben die Sicherheitsforscher. Simjacker sie bislang genutzt worden, gezielt Personen zu überwachen, für großflächige Angriffe sei die Lücke bislang nicht ausgenutzt worden, heißt es weiter.

AdaptiveMobile hat nach eigenen Angaben die für technische Spezifikationen zuständige SIMAlliance und auch den internationalen Mobilfunkverband GSMA informiert.