เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม

Lakatos นักวิจัยของ Ginno Security Lab ระบุว่า WIB มีช่องโหว่เปิดทางให้ส่งคำสั่ง เช่น โทรออก, ส่ง SMS, แจ้งตำแหน่ง เป็นต้น โดยเขาเขียนรายงานถึงช่องโหว่นี้เพิ่มเติม ต้นเหตุของช่องโหว่เกิดจากการคอนฟิกค่า minimum security level (MSL) เอาไว้ผิดพลาด ทำให้แอปพลิเคชั่นในซิมไม่ตรวจสอบที่มาของคำสั่งที่ถูกยิงเข้ามา

WIB มีใช้งานในเครือข่ายยอดนิยมจำนวนมาก เช่น AT&T, Claro, Etisalat, KPN, TMobile, Telenor (บริษัทแม่ dtac), และ Vodafone

ตอนนี้ทาง SRLabs บริษัทวิจัยความปลอดภัยไซเบอร์อีกบริษัทปล่อยโปรแกรม SIMtester เพื่อสแกนแอปพลิเคชั่นในซิมว่ามีส่วนที่ไม่ปลอดภัยหรือไม่

ที่มา - Hacker News

ภาพโดย PublicDomainPictures