Inicio / Tecno / Simjacker es la última pesadilla para nuestra privacidad: revela tu ubicación y da igual que tengas un móvil Android o iOS

Simjacker es la última pesadilla para nuestra privacidad: revela tu ubicación y da igual que tengas un móvil Android o iOS

La firma de seguridad AdaptiveMobile Security ha descubierto una nueva vulnerabilidad crítica llamada Simjacker que afecta a nuestros móviles, pero que lo hace de una forma muy especial.

No es un problema específico de Android, iOS o cualquier otra plataforma móvil, sino de las tarjetas SIM que utilizamos en cualquiera de estos terminales. Su alcance por tanto es enorme, y lo peor es que los usuarios no podemos hacer nada por solucionarlo: solo las operadoras pueden atajar el problema.

Atacando a un viejo (des)conocido

El experto en seguridad Dan Guido, de la firma Trail of Bits, explicaba cómo "este ataque es agnóstico en cuanto a la plataforma, afecta a prácticamente cualquier teléfono y no hay nada que nadie pueda hacer a excepción de tu operadora".

Simjacker1

El problema se basa en el uso de un mensaje SMS especialmente formateado que acaba llegando al llamado UICC (Universal Integrated Circuit Card), la tarjeta inteligente que permite que las tarjetas SIM puedan hacer su trabajo.

Cómo configurar Android para que proteja al máximo tu privacidad En Xataka Cómo configurar Android para que proteja al máximo tu privacidad

Ese mensaje contiene óridenes para un viejo software que forma parte de las tarjetas SIM desde hace más de una década. Se trata del llamado S@T Browser que antiguamente permitía a diversos servicios acceder por ejemplo al balance de datos y minutos de voz que nos quedaban en nuestra tarjeta cada mes.

Simjacker2

Las funciones de ese software acabaron siendo suplantadas por otras más modernas que dejaban en segundo plano al viejo S@T Browser, que no se actualiza desde 2009, pero aún así el ataque se aprovecha de que muchos países y operadoras siguen integrando esa herramienta como parte de sus SIM: se estima que más de 1.000 millones de usuarios están potencialmente afectados por el problema, pero es difícil realizar un cálculo exacto.

La ubicación es solo parte del problema

¿Qué riesgos corre el usuario? Entre muchos otros, el de registrar la ubicación del móvil en todo momento, aunque los expertos apuntan a que esta opción no es la más interesante para los posibles atacantes, que tienen muchas alternativas para averiguar la localización (muchas aplicaciones móviles lo permiten).

Simjacker2

Según AdaptiveMobile Security el ataque parece haber sido "desarrollado por una empresa privada que trabaja con gobiernos para monitorizar a gente en particular", y todo apunta a que se ha diseñado para hacer seguimiento de teléfonos de personalidades a las que de otro modo sería muy difícil acceder.

Sí, Google sabe dónde estamos a pesar de tener desactivado el 'historial de ubicaciones': así podemos evitarlo En Xataka Sí, Google sabe dónde estamos a pesar de tener desactivado el 'historial de ubicaciones': así podemos evitarlo

El ataque va más allá de poder espiar la ubicación, y es posible que esos mensajes SMS se conviertan en un "caballo de Troya" desde el cual instalar todo tipo de malware y spyware.

La solución no está en poder de los usuarios, que no pueden hacer nada en sus móviles, pertenezcan a la plataforma que pertenezcan: son las operadoras las que deben tratar de atajar el problema.

Vía | ArsTechnica
Más información | AdaptiveMobile Security La SIMalliance —que representa a los fabricantes de ese componente crítico, la UUIC— recomienda bloquear "mensajes SMS binarios no legítimos" y hacer cambios en las preferencias de seguridad de las tarjetas de seguridad que se envíen a los usuarios a partir de ahora.

También te recomendamos

La primera demanda por 'SIM swapping' es para AT&T por 224 millones de dólares después del hackeo y robo de bitcoins

La historia del supuesto hacker de 20 años que está siendo acusado de robar más de 5 millones de dólares en bitcoins

Qué es y qué puedes hacer para evitar el 'SIM swapping', el ciberataque que causa estragos y que permite vaciar cuentas bancarias


La noticia Simjacker es la última pesadilla para nuestra privacidad: revela tu ubicación y da igual que tengas un móvil Android o iOS fue publicada originalmente en Xataka por Javier Pastor .

Chequea también

Engañan a un Tesla para que pase de 56 a 140 km/h automáticamente pegando un trozo de cinta a una señal

Un trozo de cinta de cinco centímetros pegado a una señal. Eso es todo lo que han necesitado unos investigadores de McAfee para conseguir engañar a la cámara de un Tesla Model X y Tesla Model S de 2016 y hacer que aceleren automáticamente. En pocas palabras, los investigadores han pegado un trozo de cinta a una señal de 35 mph, de forma que el "3" pareciera un "8", engañando así al sistema. Dichos coches usan el sistema MobilEye Eye Q3. Tesla tiene una característica llamada TACC (Tesla Automatic Cruise Control), y dicha característica bebe de la interpretación de las señales de tráfico y el GPS para indicarle al sistema de conducción autónoma si debe reducir o aumentar la velocidad. Es lo que se conoce como Speed Assist y fue lanzado por Tesla en 2014. En Xataka Todos los coches eléctricos que saldrán a la venta en España este 2020 Si el algoritmo que alimenta este modelo es engañado, el resultado no será correcto y provocará, en este caso, que el coche pase de 35 a 85 mph. Para ponerlo en contexto, estamos hablando de pasar de 56 km/h a 136 km/h de forma totalmente involuntaria. Engañando al algoritmo Este tipo de ataques se conoce como "aprendizaje automático adversario" y consisten en explotar las debilidades presentes en los algoritmos de aprendizaje automático para conseguir resultados adversos. Los investigadores de McAfee han estado probando diferentes sistemas durante 18 meses y el resultado es que, si bien el sistema consigue detectar bien las señales incluso en situaciones complicadas, es relativamente fácil engañarlo si se sabe cómo hacerlo. Por ejemplo, en una prueba de laboratorio en la que se usó una webcam, el sistema reconoce la señal de 35 mph incluso cuanto está parcialmente oculta. Sin embargo, al añadir perturbaciones, como manchas o pintura negra alrededor de los números, el sistema falla, entendiendo 45 mph en lugar de 35 mph. La pregunta que cabe hacerse es si la cámara de los vehículos también se ve afectada. A la izquierda la señal modificada. A la derecha, el HUD del Tesla indicando que la señal marca 85 mph. La primera prueba para salir de dudas fue añadir a la señal unas pegatinas adversarias diseñadas específicamente para esta prueba. El hardware usado fue un Model S (2016) y un Model X (2016), ambos equipados con un chip EyeQ3 de MobilEye. Desde McAfee afirman que "funcionó, casi de inmediato y con una alta tasa de replicabilidad". El coche pasaba de 35 a 85 mph. Ahora bien, ¿qué sucede si se simplifica la prueba? ¿Qué pasa si se quitan todas las pegatinas adversarias y, simplemente, se alarga la zona central del "3" con cinta de color negro? Los investigadores afirman que "incluso para un ojo entrenado, esto apenas parece sospechoso o malicioso, y muchos de los que vieron la señal no se dieron cuenta de que el signo había sido alterado en absoluto". A la izquierda, la señal modificada con un trozo de cinta. A la derecha, el HUD de Tesla mostrando una lectura errónea Pues la cámara de los vehículos sí. Entendió que el 35 era, realmente, un 85, lo que provocó que el coche acelerase de inmediato y pasase de poco más de 50 km/h a casi 140 km/h. Todo sea dicho, en un vehículo de 2020 este ataque no parece poder replicarse. McAfee advirtió de esta vulnerabilidad a Tesla y Mobileye 90 días antes de publicar la información y afirma que: "Ambos proveedores mostraron interés y agradecieron la investigación, pero no han expresado ningún plan actual para abordar el problema en la plataforma existente. MobilEye indicó que las versiones más recientes del sistema de cámaras abordan estos casos de uso". En declaraciones a MIT Technology Review, MobilEye afirma que "la tecnología de vehículos autónomos no dependerá solo de la identificación, sino que también estará respaldada por otras tecnologías y datos, como el mapeo de crowdsourced, para garantizar la fiabilidad de la información recibida de los sensores de la cámara y ofrecer despidos y seguridad". Desde Xataka, por nuestra parte, hemos contactado con Tesla para conocer más información y actualizaremos cuando obtengamos respuesta. Más información | McAfee - La noticia Engañan a un Tesla para que pase de 56 a 140 km/h automáticamente pegando un trozo de cinta a una señal fue publicada originalmente en Xataka por Jose García .

El morbo científico con Betelgeuse: unos investigadores simulan qué veremos desde la Tierra cuando muera y explote

A Betelgeuse la tenemos muy observada y sabemos que algo le pasa. La estrella de la constelación de Orión es un punto rojo en el cielo que cada vez brilla menos y los científicos, ante una supuesta exposición, han simulado cómo veríamos la supernova Betelgeuse desde la Tierra. El pasado 14 de febrero el Observatorio ESO hizo público un comunicado en el que explicaban que la estrella ha perdido gran parte de su brillo habitual y que actualmente tiene alrededor del 36% del mismo. Betelgeuse muestra signos de estar en su última fase de existencia, y aunque no lo calculan para algo inmediato los investigadores han querido ya imaginar cómo veremos su muerte desde nuestro planeta. Una explosión visible durante años incluso de día A modo de recordatorio, Betelgeuse es una estrella supergigante roja perteneciente a la la constelación de Orión. Supergigante porque tiene un radio aproximadamente 900 veces superior al del Sol y su masa es en torno a 20 veces la de nuestro Astro Rey, y la tenemos a unos 724 años luz de distancia. En Xataka Voyager 2: lo que sabemos del espacio interestelar gracias a los datos que aún nos envía después de más de 40 años de viaje Decíamos que la teníamos bien observada en parte porque pudimos hacerle la mejor fotografía hasta la fecha en 2017, acercándonos su aspecto y pudiendo ver lo supergigante que es. Sobre todo, lo que también se vio es su irregularidad, con una superficie con variaciones de temperatura que son similares a las que ocurren en el Sol, aunque sean estrellas bastante distintas. La variación de brillo que se observó durante 2019. Crédito: ESO/M. Montargès et al. Es una estrella observada durante siglos y en cierto modo, pensar que su próxima parada es el estado de supernova es algo "emocionante" para los científicos. Probablemente, esa idea de que en los cielos de la Tierra se vea una supernova haya influido en la motivación para llevar a cabo simulaciones de qué veremos cuando explote. Basándose en todos los datos y cálculos sobre la posible explosión, Jared Foldberg y Evan Bauer (estudiantes de la Universidad Santa Barbara en California) llevaron a cabo esta representación de los últimos días de Betelgeuse. Una tarea que les puso su profesor Andy Howell, según cuentan en Discover Magazine. Gráfica del resultado de la simulación con el software MESA+STELLA. Crédito: Jared Goldberg/University of California, Santa Barbara/MESA+STELLA Los astrónomos implicados han usado un software llamado MESA+STELLA para calcular qué es lo que veríamos de presenciar el acontecimiento, recogiendo además lo observado durante la Supernova 1987A, la explosión de una estrella más cercana que hemos "visto" desde que hay registros. Lo muestran en un gráfico en el que indican qué se vería, explicando que según los cálculos no habría peligro para la Tierra (tendría que estar a unos 12 años luz) y que veríamos un brillo similar al de la Luna en cuarto menguante o creciente, aunque nueve veces más tenue que la luna llena. Según Howell, "todo el brillo se concentraría en un punto" y sería visible tanto de noche como de día. Y ojo, según calculan podría verse durante casi un año de día, observándose de noche a ojo desnudo durante años a medida que la supernova va desapareciendo. La supernova además no podría observarse desde los telescopios espaciales que tenemos en la Tierra e incluso desde algunos de los que están en el propio espacio, dada la intensidad del brillo. Según explica Howell, habría que hacer modificaciones para que capturasen menos luz. Nada de daños, pero sí algo de mareo La curiosidad a veces motiva este tipo de estudios, que aunque en cierto modo agorero es bastante curioso. Cuando Betelgeuse desaparezca, Orión se quedará sin su hombro izquierdo, como bromeaba Sarafina Nance, estudiante de la Universidad de California en Berkeley que ha publicado varios estudios sobre esta estrella. Representación artística de Betelgeuse frente al diámetro de los planetas del sistema solar. Crédito: ESO/L. Calçada Por la distancia a la Tierra estiman que no sufriríamos daño directo, pero que quizás habría especies de animales que podrían confundirse a la hora de orientarse al recurrir habitualmente a la Luna y ver dos y no un punto brillante en el cielo. La especie humana también podría tener dificultades en sus observaciones al cielo, matiza Howell, argumentando que ya son complicadas cuando hay Luna llena, como ya hemos comentado antes. Pero no hemos de esperarlo en los próximos años, ni siquiera que sea algo que vean nuestros tataranietos. Se espera que la explosión ocurra en unos 100.000 años, así que lo único a lo que aspiramos por ahora es a estas simulaciones. Imagen | ESO/M. Montargès et al. - La noticia El morbo científico con Betelgeuse: unos investigadores simulan qué veremos desde la Tierra cuando muera y explote fue publicada originalmente en Xataka por Anna Martí .