SIM 卡是否有能力向移動設備註入惡意程序?


技術上存在這種可能。

不過,如果是為了留後門,在SIM卡內部就可以實現。而且這種後門隱蔽、穩定,難以發現,插在任何手機上都有效。


惶恐地謝邀。
沒有碰過GSM,可以找LWQN問問以前有沒有這方面的漏洞。
但是從理論上說,自己寫一個Java Card的SIM卡流氓程序是完全可以的。

關鍵是這個APDU協議,可以在GSM文檔裡面找到這個API。
實際上GSM對卡內部的實現是沒有硬性要求的,只是Java Card給出了一個方便的API我們可以直接用它。所以理論上你可以對APDU命令進行任何操作和返回值,包括一些後門行為等等。
因為不了解詳細的API,所以暫時不知道可不可以向手機「注入」惡意程序,但是從理論上來說,如果手機端的代碼寫得足夠爛,hacker就有機可乘。


Sim卡本身,硬體安全等級很高,很難破解克隆或篡改,即使可能,也需要專業精密儀器。
卡的操作系統倒是有可能存在漏洞,此前有人向GSMA報告過。但由於其架構因廠商而異,千差萬別,我認為不存在這方面很通用的漏洞機制。
卡內搭載的應用軟體或者是應用模塊,能大範圍發布的那些通常都經歷了相當苛刻的異常測試,要挖掘可利用的漏洞並加以利用,實屬得不償失。
若是偽造卡,我想只能通過跳轉到惡意鏈接的方式,以攻擊移動設備。但是移動設備對卡的支持(即兼容性),長期以來都是卡商研發人員的噩夢。
以上,請多指教。


OTA是完全可以的。


推薦閱讀:

TAG:SIM卡 | 信息安全 |