Bei “Firmware Over The Air” (FOTA) wird eine SMS als WAP-Push gesendet, um ein Firmware-Update auszuliefern.
Update 09-2019: Jetzt wurde die erste Schwachstelle dokumentiert, mit der SIM Toolkit Befehle mittels gesendeter SMS direkt (ohne Nachfrage auf dem Display) ausgeführt werden. Veröffentlicht wurde die Sicherheitslücke von Adaptive Mobile Security und ist unter dem Namen „Simjacker“ bekannt.
Details:
Wie schon bei SMS und MMS erwähnt kann unbemerkt eine SMS empfangen werden, die vom Empfangsteil direkt an die SIM-Karte weitergereicht wird. Auch das Ausliefern von Software-Patches wird unterstützt.
Simjacker ermöglicht zum Beispiel die Standortabfrage und das Belauschen von Telefonaten. Betroffen sind alle SIM Karten die mit dem SIMalliance Toolbox Browser, der sich auf der Karte befindet ausgestattet sind.
Durch die Analyse der PDU-Messages (siehe Basics/Mobilfunkdienste) können die Angriffsvektoren E04, E05 und E06 erkannt werden. Der Unterschied zu den AVs im Abschnitt B besteht in dem „Envelope-Mode“, durch den eine SMS direkt (transparent) an die SIM-Karte weitergeleitet wird.
Drei Bedingungen müssen hierzu erfüllt sein[1]:
TP-PID = 0x7F
TP-DCS = Class 2 8-Bit
SIM Service Tabelle muss den Eintrag „Data Download via SMS Point-to-Point” enthalten und der Dienst muss aktiviert sein. Ansonsten wird die SMS im Bereich des EFSMS gespeichert.
Bei SMS Cell Broadcast muss der Service „Data Download via SMS-CB“ in der Service Table der SIM-Karte aktiviert und der „Message Identifier“ in der EFCBMID eingetragen sein, dann wird Cell Broadcast direkt an die SIM weitergeleitet, ohne auf dem Display angezeigt zu werden.
Laut ETSI GSM 3.40 Spezifikation Abschnitt 9.2. kann über den Short Message Transport Layer (SM-TL) jede eintreffende Nachricht vollständig empfangen werden.
Zur Erkennung an der SIM-Karten-Schnittstelle könnte ein als „Turbo-SIM“ oder auch „Proxy-SIM“ bekanntes Bauteil eingesetzt werden, dass als „Sniffer“ auch den Datenverkehr in umgekehrter Richtung, also von der SIM zum Modem, mitlesen kann. Die SIM-Karte benutzt sogenannte proaktive Mechanismen[2], die es ihr ermöglichen selbstständig die Kontrolle über das Smartphone zu erlangen. Die Kommandos der SIM-Karte können ebenfalls erkannt und angezeigt werden. In Kapitel 5 wird näher darauf eingegangen.
Gegenmaßnahme: Änderungen an der Firmware sollten nur durch den Service Provider beziehungsweise den Gerätehersteller durchführbar sein. Bei der Verteilung von Softwareupdates wird im Allgemeinen auf bekannte Authentifizierungs- und Verschlüsselungsverfahren zurückgegriffen.
Quellen/Links: [1] ETSI Standart GSM 11.14, “Digital cellular telecommunications system (Phase 2+); Specification of the SIM application toolkit for the Subscriber Identity Module – Mobile Equipment (SIM – ME) interface”, Kapitel 7.1 “SMS-PP data download”, V5.9.0, 11-1998
[2] ETSI GSM 11.14, Kapitel 4.2 “Proactive SIM”