Come probabilmente saprai, una SIM card è un computer completamente funzionale in sé, che comunica con il telefono (o altri dispositivi) su comandi predefiniti.
Il primo grosso problema è praticamente un grande "sì": il firmware e il sistema operativo del telefono e della scheda non sono per lo più open source, ma è sicuro assumere tutti i bug di sicurezza (non noti al pubblico) che consentono a un dispositivo di fare più di quanto dovrebbe dall'altra parte.
Quindi, i telefoni possono infettare i sim e le sim possono infettare i telefoni; o per controllare di più, o per diffondere. I malware sui telefoni possono venire ad es. da app preinstallate in fabbrica (più spesso di quanto si possa immaginare) dal governo o da criminali "normali" e così via. Ma sulla scheda SIM?
Le "buone" sim spesso hanno risorse molto limitate (memoria e così via). Ma come descritto più avanti, non importa molto, perché il programma sulla sim è molto in grado di richiedere istruzioni da qualsiasi postazione remota - non è necessario contenere il malware completo. A proposito di sim realizzati specificamente con malware, beh ... cosa può fare descritto in seguito.
A proposito del rischio è l'Europa occidentale:
Se sei preoccupato per il livello di governo, beh ... non ti puoi fidare di nulla. Se i "piccoli" criminali sono il problema: evitare i pacchetti di carte prepagate che a volte vengono venduti nei supermercati. Per cominciare, è facile andare lì e passare il buon pacchetto nel riparo con qualcos'altro. I negozi del fornitore stesso dovrebbero essere ok - non solo non c'è accesso pubblico a nulla, ma a volte scrivono anche il software e la configurazione su una scheda vuota direttamente se la compri (quindi non c'è possibilità di fare confusione con le schede memorizzate).
E ora su ciò che i moderni sim sono in grado di ... ignorando quelli vecchi (l'interfaccia di phone-sim si evolve nel tempo), e supponendo che non ci siano bug di sicurezza, c'è ancora abbastanza carta permessa dallo standard. Questo include per es. (ma non è limitato a):
- Invio e ricezione di dati Internet arbitrari (UMTS / HSPA / ...), messaggi (sms, mms, messaggi push), chiamate telefoniche, dati a infrarossi e / o bluetooth da / a peer remoti arbitari
- Richiesta di informazioni sulla rete cellulare connessa e istruzioni al telefono per passare a qualcos'altro
- Interrogazione delle informazioni GPS (e, naturalmente, utilizzo di elementi arbitrari, ad esempio registrazione, invio a un server remoto, ...)
- Invio di comandi di controllo di livello inferiore arbitrario ai modem disponibili nel telefono
- Visualizzazione di testo e / o immagini sullo schermo, riproduzione di suoni e / o aggiunta di comandi al menu del telefono
- Istruzioni per l'uso del telefono per l'apertura di siti Web nel browser
Significa, sì, anche senza bug di sicurezza, MITM e molte altre cose sono possibili.