Pay&Go sim S@T en/of WIB hacks

  • 2 August 2022
  • 73 reacties
  • 2500 Bekeken

Reputatie 1
Badge

Hi,

Op 30/07/22 ontvang ik een sms van nummer 8695 van “Jess Media” om mij te abonneren op de dienst “Mobifun”, 1 minuut later ben ik blijkbaar reeds geabonneerd op deze dienst, en dit zonder ook maar de sms te openen/bekijken, er zat ook geen link in, dus klikken kan ook niet.. gelukkig was dit op mijn tweede sim kaart (P&G) want een paar minuten later was er nog maar 1euro belkrediet over.. (initieel solden promo kaartje met 10euro krediet bij aankoop, eerder backup sim, testing & dergelijke, nooit herladen)

Zelf in ICT werkzaam, is dit een meer dan intrigerend gegeven en ga dus op zoek naar security advisories bij de alom vertrouwde NIST site, en wat blijkt;
Blijkbaar zijn de Pay&Go sim kaarten dus voorzien van ofwel S@T browser of WIB toolkit;

https://nvd.nist.gov/vuln/detail/CVE-2019-16256#VulnChangeHistorySection

Hierbij de (directe) link waar NIST naartoe verwijst (analyse)

https://blog.adaptivemobile.com/simjacker-next-generation-spying-over-mobile

In de bijlage kan je de logs vinden van welke trafiek er met de sim kaart is gebeurd (myproximus -> oproep & herlaad geschiedenis)
Er is geen log terug te vinden op de telefoon van gemaakte oproepen, en deze hebben allemaal een "verkeerstype" van "onbepaald", behalve de initiële sms (28/07) die wel geïdentificeerd is als sms, de payload van deze SMS heeft dus inderdaad gewerkt (informatie van de gsm "device" verstuurd naar dit eerste nummer zodat ze via crafted sms'en ("Jess Media" sms) commando's kunnen uitvoeren via de sim, de reden dat dit 2 dagen later is, is omdat ze vermoedelijk de payload van de sms'en specifiek op telefoon & patchlevel moeten afstemmen.
Alhoewel mijn telefoon beveiligd (knox), volledig up to date is en erbovenop nog een antivirus & netwerkbeveiliging aan boord heeft, is de zwakste schakel dus.. de sim kaart.. beveiliging is inderdaad maar zo sterk als zijn zwakste schakel..

Ik heb klacht ingediend via de proximus site, maar ik verwacht hier niet veel van, dus dan maar dit forum berichtje als referentie voor toekomstige of iedereen die hier al slachtoffer van is geweest.
Gezien de kleinschalige impact van een paar euro's meld ik dit niet aan de politie (het nog resterende krediet is enkel geldig voor bellen & sms’en), ik heb dit wel overgemaakt aan safeonweb, waarschijnlijk zijn ze bij cybersecurity  op de hoogte.

Wees in ieder geval voorzichtig met P&G nummers, je weet nooit waar die voordien voor werden gebruikt voor ze terug in roulatie worden gebracht na hun vervaldatum, het simkaartje heb ik intussen uit mijn mobile gehaald, die ik gezien deze gecompromitteerd is zal vervangen.

 

 


73 reacties

Ter info: Ik versta hier enkel uit dat het dossier dat opgemaakt werd voor @ingeg1986 nu afgesloten werd.

Reputatie 7
Badge +2

@AdeDej 

dossier werd opgemaakt

De dossierbeheerder zal dit onderzoeken en je informeren.

Groetjes

Tina

Reputatie 7
Badge +2

@Ann_ Ik heb dossier 51363777 opgemaakt en doorgestuurd naar de bevoegde dienst.Deze gaan het nakijken en zelf terug contact met u opnemen.Groetjes,Joel

Reputatie 7
Badge +2

@AdeDej Excuses dat het langer duurt dan in normale omstandigheden.Ik heb de extra info doorgegeven in uw dossier 51342000 en dit met hoge prioriteit.Groetjes,Joel

@Magnitude Proximus stelt wel een klachtendossier op tegen derden  voor verder onderzoek en daarom best zoveel mogelijk privégegevens invullen/aanvullen in je → ForumProfiel, in de met "privé aangeduide tekstvelden, enkel proximusmedewerkers kunnen deze info bekijken.
In het vak "Ticket (Privé)" kun je nog bijkomende informatie zetten b.v. het betrokken nummer waarover het gaat.
Klik tenslotte onderaan links op "sla wijzigingen op"
Zodat de Proximus forummedewerkers hiermee aan de slag kunnen van zodra ze hier de draad opnemen.  

 

Reputatie 1
Badge

Beiden bedankt voor de info, ik zal de privé gegevens en klacht nr. aanvullen & op de hoogte houden van verder gevolg.

Reputatie 7
Badge +2

@ingeg1986  Dit dossier werd afgesloten op 7/9/2022

Reputatie 7
Badge +2

@Kris Calle  Dag Kris, is het mogelijk om het nummer van je dochter in te vullen onder je profie bij  ‘ ticket’ Dank je wel alvast

Reputatie 7
Badge +2

@Witl 

dossier 51339175 is opgemaakt.

het gaat hier om een pay&go nummer? de bevoegde dienst doet het nodige

groetjes

Tina

@Kris Calle  Dag Kris, is het mogelijk om het nummer van je dochter in te vullen onder je profie bij  ‘ ticket’ Dank je wel alvast

@Luc.M @HeidiE 

ik heb alle info aangevuld in mijn profiel. Kunnen jullie mij op de hoogte houden van het vervolg aub? Alvast bedankt

Reputatie 7
Badge +2

@Ann_ 

aangezien dit ook gaat over een p&g: 

voor welke dienst precies is er ingeschreven? datum van aanrekening?

p&g zien we niet dadelijk, maar info is wel nodig voor opmaak dossier

groeten

Tina

 

Reputatie 7
Badge +2

@Matthias Verlinden Dossier 51412478 aangemaakt en doorgestuurd naar de bevoegde dienst voor verder onderzoek.Zij gaan erna zelf terug contact met u opnemen.Groetjes,Joel

Reputatie 7
Badge +4

Conform de bestaande wetgeving dient Proximus uw klacht over te maken aan de betrokken leverancier (diensten van/door derden) en dient deze laatste te bewijzen dat u (wetens en willens) ingeschreven hebt op de betrokken dienst en indien dit niet kan, u terug te betalen

Sms’en type 8xxxx zijn gratis (en kunnen inderdaad bv. worden gebruikt om u te informeren over een inschrijving op een betalend abonnement via één of andere website)

Blijkbaar is het betrokken nr in gebruik voor Echovox (cfr bv. Proximus & Telenet websites voor diensten door derden)

Bij wie kun je terecht over diensten door derden? | Proximus

 

Mijns inziens is het totaal onaanvaardbaar dat Echovox van een e-mail adres proximus@mob.support gebruik maakt (kan maken) en dient dit door Proximus (juridische dienst) best eens van naderbij te worden bekeken)

 

Bij wie kan ik terecht met vragen over diensten van derden? (telenet.be)

 

Reputatie 1
Badge

Hi @Fons02 ,

Bedankt om dit te melden, er zullen zich zeker nog incidenten hebben voorgedaan, helaas..
Ik heb ook nog niets gezien/gehoord van klachten behandeling, security issues nemen nu eenmaal tijd, audits, logs, tracing enz, het is allemaal in een corporate procedureel kleedje gestoken en gezien de grootte van de userbase niet echt verwonderlijk, alhoewel security issues meestal een vorm van urgentie meekrijgen, er is altijd wel de vraag te stellen van hoe dit in juiste context naar buiten te brengen, het is maar hoe je "een" communicatie brengt ;-)

Momenteel ben ik de technische specificaties aan het doorploegen, voor de geïnteresseerden ;

Laatste revisie 2020-07
https://www.etsi.org/deliver/etsi_ts/131100_131199/131111/16.01.00_60/ts_131111v160100p.pdf

Versie van 2001, altijd interessant om te correleren
https://www.etsi.org/deliver/etsi_ts/131100_131199/131111/03.04.00_60/ts_131111v030400p.pdf

(hoofdstuk 6 -> "Proactive UICC")

Van zodra ik meer weet/zie/hoor, post ik het hier.

Reputatie 7
Badge +2

@Fons02 

beste

ik heb opnieuw een dossier 51519717 opgesteld voor de correcte groep

Het vorige zat in het verkeerde systeem en werd afgesloten als onoplosbaar.

Zelf kan ik niet in je facturatie: wat is het betwiste bedrag aub?

vriendelijke groeten

Tina

 

Reputatie 7
Badge +2

@Fons02 

toegevoegd aan je dossier

de dossierbeheerder zal je later contacteren

groeten

Tina

Reputatie 7
Badge +2

@Fons02 

we kunnen klacht indienen bij de betrokken derde dienst en laten nagaan of alle regels gevolgd zijn conform de wetgeving

Hiervoor hebben we je klantgegevens nodig.  Vul je je forumprofiel verder aan? Ook de betrokken gsm nummers?

Ter info:  Forum Profiel

 klikken op jouw ‘icoontje’/avatar

> Mijn profiel > Bewerk profiel

> vakken aangeduid met (privé) zijn alleen zichtbaar voor proximus medewerkers

> daar je gevraagde gegevens aanvullen,  en

> Sla wijzigingen op en laat ons dit weten

vriendelijke groeten

Tina

Reputatie 7
Badge +2

@Hairyken Ik heb hiervoor dossier 51557635 overgemaakt aan de bevoegde dienst.Zij gaan het nakijken en zelf terug contact met u opnemen.Groetjes,Joel

Reputatie 1
Badge

Ik ben gecontacteerd geweest door Proximus ivm mijn klacht, ze hebben het opgebruikte bedrag terug gestort op mijn P&G, waarvoor dank, hiermee is de commerciële zijde opgelost, maar niet het technisch probleem.
Even verder geanalyseerd met Proximus, waarbij de derde partij wel degelijk een "OK" bericht ontvangen had, wat dus bevestigd dat de simkaart misbruikt werd, ik kon er helaas niet verder op ingaan omdat mijn gesprekspartner niet technisch was, wat begrijpelijk is.
Dit is volledig in lijn met de NIST melding van Simjacker, ik heb wat Nederlandstalige uitleg hierover gevonden;

https://www.kaspersky.nl/blog/simjacker-sim-espionage/24279/
https://itdaily.be/nieuws/44981/sms-malware-steelt-locatiegegevens-smartphone/
https://www.security.nl/posting/624042/Surveillancebedrijf+zou+telefoons+via+speciale+sms%27jes+lokaliseren

Defcon 21 : The Secret Life of SIM Cards (voor de techies onder ons ;-)

https://www.youtube.com/watch?v=31D94QOo2gY

Gezien het bijna 3 jaar geleden is dat dit probleem werd aangekaart zou je denken dat dit opgelost is, maar niets is minder waar.
Het probleem overstijgt Proximus met een veelvoudig van telco’s en hun userbase, het doel van deze software op de simkaarten te hebben laat ik even buiten beschouwing hier (read the docs and find out ;-)
Zolang de software op de sim aanwezig is, blijft de sim "toegankelijk voor derden" zonder dat je het weet of iets op de telefoon terug van te vinden is.
Alle gekheid op een stokje en na het doorploegen van de etsi.org tech specs ziet het er naar uit dat er maar 2 opties zijn; de sim kaart omruilen voor een exemplaar zonder S@T browser en/of functie stack, ofwel remote de software uitschakelen (indien mogelijk)
 

Reputatie 7
Badge +2

@Fons02  Dag ik heb een dossier aangemaakt om dit alles na te kijken en de refund aan te vragen? De beheerder hiervan contacteert je. Groetjes Luc

Reputatie 7
Badge +3

Dag @Wim19 ik maak dossier 51766498, de bevoegde dienst zal jullie verder informeren. Groetjes, Heidi

Reputatie 7
Badge +3

@LesleySchepens dossier 51798958 is in behandeling. Groetjes, Heidi

Reputatie 7
Badge +3

Dag @Andrega dossier 51155435 is opgemaakt. De dossierbeheerder zal je verder contacteren. Groetjes, Heidi

Reputatie 7
Badge +3

Hi @drunk puppwr25 case 51155456 had been made, the case owner will contact you. Kr, Heidi

Reputatie 7
Badge +3

Dag @Sara79 ik heb dossier 51155479 opgemaakt, de dossierbeheerder zal jullie verder contacteren. Groetjes, Heidi

Reageer