SimKorsanlığı: SIM üzerinden telefon hackleme

Ekim 7, 2019

Son dönemde, AdaptiveMobile Security uzmanları, cep telefonlarına yeni bir saldırı yöntemi keşfetti. Bu yöntem, sıradan bir bilgisayar ve çok ucuz bir USB modem kullanılarak gerçekleştirilebiliyor. Bazı eski cep telefonu casusluk yöntemleri özel ekipmana ve telekom işletim lisansına ihtiyaç duyarken, SimKorsanlığı denilen bu saldırı türü, SIM kartlarında bulunan güvenlik açığından yararlanıyor.

Sorunun kaynağı, S@T Browser

2000’li yılların başından bu yana piyasaya sürülen çoğu SIM kart (eSIM dahil), bir operatör menüsüne sahip. Bu menüde, Bakiye Öğrenme, Para Yükleme, Teknik Destek, hatta bazen Hava Durumu ve Burç Yorumları gibi fonksiyonlar yer alıyor. Bu fonksiyonlar eski telefonlarda doğrudan ana menüde yer alıyordu. iOS, bunları Ayarlar Menüsü’nün altında bir yerlere (SIM Uygulamaları’nın içine) saklarken, Android akıllı telefonlar, SIM Araç Seti adı verilen ayrı bir uygulama içinde sunmaya başladı.

Menü aslında, bir uygulamadan, daha doğrusu, genel olarak SIM Araç Seti (STK) adı altında birkaç uygulamadan oluşuyor. Ancak bu uygulama(lar) telefonun kendisinde değil, SIM kart üzerinde çalışıyor. SIM kartınızın gerçekte kendi işletim sistemi ve programları olan küçük bir bilgisayar olduğunu unutmayın. Bu bağlamda STK, operatör menüsüne basılması gibi harici komutlara yanıt veriyor ve telefonun, SMS mesajları veya USSD komutları gönderme gibi bir takım eylemleri gerçekleştirmesini sağlıyor.

STK’da bulunan uygulamalardan biri de S@T Browser. Bu uygulama, belli formatlardaki Web sayfalarıyla, operatörün dahili ağında bulunan sayfaları görüntülemek için kullanılıyor. Örneğin, S@T Browser’dan bakiyeniz hakkında bilgi alabilirsiniz.

Ne var ki, 2009’dan bu yana S@T Browser uygulamasının güncellemesi yapılmadı. Modern cihazlarda bu uygulamanın işlevi başka uygulamalar tarafından gerçekleştirilse de, S@T Browser hala aktif olarak kullanılmaya veya en azından çoğu SIM karta yüklenmeye devam ediliyor. Araştırmacılar, bu uygulamanın yüklü olduğu SIM kartlarını hangi telekomünikasyon şirketlerinin nerelerde sattığını ifşa etmeseler de, en az 30 ülkede 1 milyardan fazla kişinin kullandığını iddia ediyorlar ve yukarıda bahsedilen güvenlik açığının S@T Browser’dan kaynaklandığını belirtiyorlar.

SimKorsanlığı saldırısı

Saldırı, SIM kartla ilgili talimatlar içeren bir SMS mesajıyla başlıyor. Bu talimatları alan SIM kart, cep telefonunun seri numarasını ve abonenin kapsama alanında bulunduğu baz istasyonunun Hücre Kimliğini (cell ID) sorguluyor ve elde ettiği bilgileri bir SMS yanıtı olarak saldırganın numarasına gönderiyor.

Öte yandan, baz istasyonlarının koordinatları biliniyor (hatta bu bilgilere internette kolayca erişilebiliyor). Dolasıyla, Hücre Kimliği bilgileri, abonenin konumunu birkaç yüz metre doğrulukla belirlemek amacıyla kullanılabiliyor. Özellikle konum tabanlı hizmetler, uydu yardımı olmadığında veya uydu bağlantısının kesildiği kapalı kapalı mekanlarda ya da GPS kapatıldığında, konumu belirlemek için aynı yöntemi kullanıyor.

Kullanıcının, hacklenen SIM karta yapılan müdahalelerden hiçbir haberi olmuyor. Çünkü saldırı komutlarını içeren SMS mesajları ile cihaz konum verilerini ileten mesajlar telefonun Mesajlar uygulamasında görüntülenmiyor. Bu yüzden, SimKorsanlığı kurbanları büyük bir olasılıkla, maruz kaldığı casusluk faaliyetinin farkında bile olamıyor.

SimKorsanlığından kimler etkilendi?

AdaptiveMobile Security ‘e göre, casuslar farklı farklı ülkelerde yaşayan insanların konumlarını takip ediyor. Ancak uzmanlar, bunların hangi ülkeler olduğunu belirtmiyor. Uzmanlara göre, bu ülkelerin her birinde, günlük ortalama 100-150 kullanıcı aynı tehdide maruz kalıyor. Saldırı mesajları genellikle haftada bir kereden daha sık gönderilmiyor. Ancak, bazı kurbanların hareketleri daha yakından takip ediliyor. Araştırma ekibi, bu gruba giren bazı kullanıcılara aynı hafta içerisinde kötü amaçlı birkaç yüz SMS mesajı gönderildiğini belirledi.

SimKorsanlığı saldırganları işi daha da ileri götürebilir

Araştırmacıların belirttiği gibi, siber suçlular S@T Browser ile birlikte gelen SIM kartı yeteneklerinin tamamını henüz kullanmadılar. Siber suçlular bu yetenekleri kullanarak, örneğin, herhangi bir numarayı arayabilir, istedikleri numaralara istedikleri mesajları gönderebilir, tarayıcıda linkler açabilir, hatta SIM kartını kullanılmaz hale getirerek kurbanı telefonsuz bırakabilir.

Bu güvenlik açığı çok sayıda saldırı senaryosunu akla getiriyor: Suçlular SMS yoluyla bir banka hesabına para aktarabilir, ücretli kısa servis numaralarını arayabilir, kimlik avı saldırısı içeren sayfaları tarayıcıda açabilir veya Truva atları indirebilir.

Söz konusu güvenlik açığı, saldırıya maruz kalan SIM kartın yerleştirildiği cihaza bağlı olmadığından, büyük tehlike arz ediyor. Üstelik, standartlaştırılan STK komut seti, tüm telefonlar ve hatta SIM taşıyan IoT (Nesnelerin İnterneti) cihazları tarafından destekleniyor. Bazı araçlar, arama yapma gibi birtakım işlemler için kullanıcı onayı istese de, bunların az olduğu bir gerçek.

Kullanıcılar SimKorsanlığı saldırılarını nasıl önleyebilir?

Maalesef kullanıcıların SIM kart saldırılarını durdurabileceği belli başlı bir yöntem yok. Aslında, Müşterilerinin güvenliğini sağlamak mobil operatörlerin görevi. Bu operatörlerin, her şeyden önce, eski SIM menü uygulamalarını kullanmaktan kaçınmaları ve tehlikeli komutlar içeren SMS kodlarını engellemeleri gerekiyor.

Ama iyi haberlerimiz de var. Bu tür saldırıları gerçekleştirmek için pahalı bir donanım gerekmese de, oldukça derinlemesine teknik bilgi birikimine ve özel becerilere ihtiyaç var. Dolayısıyla, yöntemin sıradan siber suçlular ve ekürileri tarafından kullanılamayacağını söylemek yanlış olmaz.

Üstelik araştırmacılar S@T Browser’ın geliştiricisine (SIMalliance) bu güvenlik açığını bildirdiler. Şirket de buna karşılık, uygulamayı kullanan operatörlere yönelik bir dizi güvenlik kılavuzu yayınladı. SimKorsanlığı saldırıları, tüm dünyadaki mobil operatörlerin çıkarlarını temsil eden uluslararası bir kuruluş olan GSM Association’a da rapor edildi. Şirketlerin en kısa sürede gerekli tüm koruyucu tedbirleri almalarını umuyoruz.