Hi,
Op 30/07/22 ontvang ik een sms van nummer 8695 van “Jess Media” om mij te abonneren op de dienst “Mobifun”, 1 minuut later ben ik blijkbaar reeds geabonneerd op deze dienst, en dit zonder ook maar de sms te openen/bekijken, er zat ook geen link in, dus klikken kan ook niet.. gelukkig was dit op mijn tweede sim kaart (P&G) want een paar minuten later was er nog maar 1euro belkrediet over.. (initieel solden promo kaartje met 10euro krediet bij aankoop, eerder backup sim, testing & dergelijke, nooit herladen)
Zelf in ICT werkzaam, is dit een meer dan intrigerend gegeven en ga dus op zoek naar security advisories bij de alom vertrouwde NIST site, en wat blijkt;
Blijkbaar zijn de Pay&Go sim kaarten dus voorzien van ofwel S@T browser of WIB toolkit;
https://nvd.nist.gov/vuln/detail/CVE-2019-16256#VulnChangeHistorySection
Hierbij de (directe) link waar NIST naartoe verwijst (analyse)
https://blog.adaptivemobile.com/simjacker-next-generation-spying-over-mobile
In de bijlage kan je de logs vinden van welke trafiek er met de sim kaart is gebeurd (myproximus -> oproep & herlaad geschiedenis)
Er is geen log terug te vinden op de telefoon van gemaakte oproepen, en deze hebben allemaal een "verkeerstype" van "onbepaald", behalve de initiële sms (28/07) die wel geïdentificeerd is als sms, de payload van deze SMS heeft dus inderdaad gewerkt (informatie van de gsm "device" verstuurd naar dit eerste nummer zodat ze via crafted sms'en ("Jess Media" sms) commando's kunnen uitvoeren via de sim, de reden dat dit 2 dagen later is, is omdat ze vermoedelijk de payload van de sms'en specifiek op telefoon & patchlevel moeten afstemmen.
Alhoewel mijn telefoon beveiligd (knox), volledig up to date is en erbovenop nog een antivirus & netwerkbeveiliging aan boord heeft, is de zwakste schakel dus.. de sim kaart.. beveiliging is inderdaad maar zo sterk als zijn zwakste schakel..
Ik heb klacht ingediend via de proximus site, maar ik verwacht hier niet veel van, dus dan maar dit forum berichtje als referentie voor toekomstige of iedereen die hier al slachtoffer van is geweest.
Gezien de kleinschalige impact van een paar euro's meld ik dit niet aan de politie (het nog resterende krediet is enkel geldig voor bellen & sms’en), ik heb dit wel overgemaakt aan safeonweb, waarschijnlijk zijn ze bij cybersecurity op de hoogte.
Wees in ieder geval voorzichtig met P&G nummers, je weet nooit waar die voordien voor werden gebruikt voor ze terug in roulatie worden gebracht na hun vervaldatum, het simkaartje heb ik intussen uit mijn mobile gehaald, die ik gezien deze gecompromitteerd is zal vervangen.
