Hồi đầu tháng, các nhà nghiên cứu an ninh mạng tại AdaptiveMobile Security đã tiết lộ một lỗ hổng nghiêm trọng trong thẻ SIM có tên là SimJacker có thể bị tin tặc khai thác từ xa để tấn công điện thoại di động nhắm mục tiêu và theo dõi nạn nhân chỉ bằng cách gửi tin nhắn SMS.
Và có vẻ như Simjacker không “đơn độc”, một công ty bảo mật khác là Ginno Security Lab đã thông tin chi tiết một khai thác khác có tên là WIBattack trên một số thẻ SIM để kiểm soát các chức năng chính của điện thoại. Giống như Simjacker, WIBattack lây nhiễm điện thoại thông qua tin nhắn SMS được định dạng sẵn chạy các hướng dẫn trên thẻ SIM. Nếu thành công, những kẻ tấn công có thể gửi văn bản, bắt đầu cuộc gọi, trỏ trình duyệt web của bạn đến các trang cụ thể, hiển thị văn bản và gửi thông tin vị trí.
Trước đó, lỗ hổng SimJacker nằm trong bộ công cụ SIM động của S@T Browser (SIMalliance Toolbox) được nhúng trong hầu hết các thẻ SIM được các nhà mạng ở ít nhất 30 quốc gia sử dụng. Với WIBattack, hiện tại vẫn chưa rõ có bao nhiêu thiết bị có thể bị ảnh hưởng. Trong khi Ginno cảnh báo rằng “hàng trăm triệu” điện thoại có thẻ SIM có khả năng bị khai thác WIBattack nhưng trang ZDNet đã nhận được báo cáo của SRLabs cho thấy số “nạn nhân tiềm năng” thực sự có thể thấp hơn đáng kể. Trong số 800 thẻ đã được thử nghiệm, chỉ có 10,7% được cài đặt WIB để khai thác và 3,5% trong số đó dễ bị tấn công giống như Simjacker.
Dù vậy, đây là một lỗ hổng đáng kể khác có thể khó loại bỏ hoàn toàn cho đến khi các mạng và người dùng nâng cấp lên các SIM an toàn hơn.