A poche settimane dalla scoperta di SIMJacker, un team di ricercatori di sicurezza ha scovato una seconda vulnerabilità nelle SIM Card che potrebbe consentire ad utenti malintenzionati di tracciare i dispositivi abusando ai app poco conosciute in esecuzione sulle schede.

Il nuovo attacco è chiamato WIBattack ed è praticamente identico a SIMJacker. Il funzionamento è simile e concedono l'accesso a comandi simili, mentre l'unica eccezione è data dal fatto che prendono di mira diverse applicazioni in esecuzione sulle schede SIM.

SIMJacker esegue i comandi sull'app S@T Browser, mentre WIBattack invia i comandi all'app Wireless Internet Browser. Entrambi sono applet Java che gli operatori telefonici installano sulle SIM e forniscono agli utenti la gestione remota dei dispositivi e delle offerte.

Ginno Security Labs sostengono che l'app WIB è vulnerabile ad attacchi simili a quelli di SIM Jacker, ma a differenza di quest'ultima falla che secondo AdaptiveMobile sarebbe stata utilizzata da una società privata che avrebbe lavorato per alcuni governi, al momento non sono noti attacchi.

Gli hacker, tramite un SMS contenente del codice binario appositamente formattato, potrebbero essere in grado di eseguire il SIM Toolkit per ottenere dati sula posizione, iniziare chiamate, inviare SMS, inviare richieste SSD ed USSD, avviare il browser internet con URL specifici (su siti web che eseguono codice dannoso), visualizzare il testo presente sul dispositivo e far squillare il telefono.

E' chiaro che la preoccupazione principale è legata al tracciamento degli utenti o per lo spionaggio. Secondo i ricercatori attualmente sarebbero vulnerabili centinaia di milioni di smartphone a livello mondiale.

Alcuni rapporti però frenano facili allarmismi ed una ricerca di SRLabs, pubblicata da ZNET, sostiene che delle 800 schede SIM analizzate, provenienti da tutto il mondo, solo il 10,7% aveva WIB preinstallato, ed il 3,5% era vulnerabile all'attacco.