Como probablemente sepa, una tarjeta SIM es una computadora completamente funcional en sí misma, que se comunica con el teléfono (u otros dispositivos) a través de comandos predefinidos.
El primer gran problema que es prácticamente un gran "sí": el sistema operativo y el firmware de la tarjeta y el teléfono no son de código abierto, pero es seguro asumir que todos los errores de seguridad (que no se conocen públicamente) permiten que un dispositivo pueda hacerlo. Más de lo que debería en el otro lado.
Por lo tanto, los teléfonos, pueden infectar a los sims, y los sims pueden infectar a los teléfonos; ya sea para controlar más, o para difundir. Malware en los teléfonos puede venir por ejemplo. desde aplicaciones, preinstaladas en la fábrica (más a menudo de lo que pueda imaginar) por el gobierno o por criminales "normales", etc. Pero en la tarjeta SIM?
Los simuladores "buenos" a menudo tienen recursos muy limitados (memoria, etc.). Pero como se describe más adelante, eso no importa mucho, ya que el programa en el simulador puede solicitar instrucciones desde cualquier ubicación remota, no es necesario que contenga el malware completo. Acerca de los sims específicamente creados con malware, bueno ... lo que puede hacer se describe más adelante.
Sobre el riesgo es Europa occidental:
Si te preocupa el nivel gubernamental, bueno ... no puedes confiar en nada. Si el problema son los "pequeños" delincuentes: evite los paquetes de tarjetas prepagas que a veces se venden en los supermercados. Para empezar, es fácil ir allí y cambiar el buen paquete en la estantería con otra cosa. Las tiendas realizadas por el proveedor en sí deben estar bien, no solo no hay acceso público a nada, sino que a veces incluso escriben el software y la configuración en una tarjeta vacía directamente si la compra (por lo que no hay posibilidad de meterse con las tarjetas almacenadas).
Y ahora, sobre lo que los sims modernos son capaces de ... ignorar los antiguos (la interfaz de simulación del teléfono evoluciona con el tiempo), y asumiendo que no hay errores de seguridad, el estándar todavía tiene muchas tarjetas. Esto incluye por ejemplo. (pero no se limita a):
- Enviando y recibiendo datos arbitrarios de Internet (UMTS / HSPA / ...), mensajes (sms, mms, mensajes push), llamadas telefónicas, infrarrojos y / o datos de bluetooth desde / hacia usuarios remotos arbitrarios
- Consultar información sobre la red celular conectada e indicarle al teléfono que cambie a otra cosa
- Consultar información de GPS (y, por supuesto, hacer cosas arbitrarias con ella, por ejemplo, registrar, enviar a un servidor remoto, ...)
- Enviar comandos de control de nivel bajo arbitrarios a los módems disponibles en el teléfono
- Mostrar texto y / o imágenes en la pantalla, reproducir sonidos y / o agregar comandos al menú del teléfono
- Indicar al teléfono que abra sitios web en su navegador
Es decir, sí, incluso sin errores de seguridad, MITM y muchas otras cosas son posibles.