大部分已知的手机漏洞都是在软件系统里,但AdaptiveMobile Security的研究员却发现了一个存在于SIM卡的漏洞,并认为已经被监控公司用来关注人们所在位置至少两年。这被名为Simjacker的漏洞是利用了旧式S@T技术的特性,只要向目标人物的电话号码发出包括S@T指令的SMS,接收的手机就会以SMS回传位置信息、IMEI。
S@T是藏在SIM卡工具箱里,原本是用于播放音乐、启动网页等一般功能,能针对iPhone、部分品牌的Android手机和带SIM卡的联网设备进行攻击,所以无关手机系统的问题,同时触发后也不留痕迹。
AdaptiveMobile Security在报告中指出,这漏洞已经在超过30个地区出现,主要是在中东、北非、亚洲和东欧,而且被应用了最少2年。监控者据指会长期关注被害人的位置,每天都会“检查”数次。被监控的对象超过万人,其中更有250名更是知名人士。AdaptiveMobile Security指这不是大型监控项目,但却不清楚是否用于关注罪犯、间谍和政治用途,只知道这漏洞是由“具丰富经验”的人在使用。
理论上这漏洞可以由电信运营商堵塞,因为黑客发送的是特定代码,应该可以精准查找出来。然而这却又会引起隐私问题,而且也因为影响地区广泛,难以跨地区共同实行。甚至AdaptiveMobile Security是确信这些监控行动是由政府支持,所以要完全堵塞漏洞就变得难上加难。