Para agregar a la respuesta de Thomas Gravina:
El atraco de SIM de la NSA puede haber comprometido mucho más que tus llamadas
Dos extractos:
- ¿Cuál debería ser un tamaño de archivo óptimo (mb) de un diseño de pantalla para una aplicación móvil?
- ¿Es una buena idea una aplicación de predicción de relaciones?
- ¿Cómo se identifica el dispositivo Android como registrado por las aplicaciones?
- ¿Google planea reemplazar completamente a Android?
- ¿Puedo usar el contenido de la aplicación de alguien en mi aplicación?
Cada tarjeta SIM obtiene su propia clave OTA, que generalmente se usa para instalar actualizaciones de forma remota. Los fabricantes pueden enviar un mensaje de texto binario directamente a la tarjeta SIM, y siempre que esté firmado con la clave OTA adecuada, la tarjeta instalará el software adjunto sin dudas. Si esas claves se veían comprometidas, le daría a un atacante carta blanca para instalar todo tipo de spyware.
y:
Las filtraciones anteriores muestran que la NSA ya ha desarrollado malware que funcionaría de esta manera. El catálogo de exploits de la NSA (publicado por primera vez por Der Spiegel ) enumera dos aplicaciones de malware diferentes basadas en SIM: MONKEYCALENDAR envía datos de ubicación a través de mensajes SMS ocultos, mientras que GOPHERSET extrae la agenda telefónica, el texto y los registros de llamadas de un usuario. En ambos casos, el malware vive completamente en la tarjeta SIM, sin dejar rastro en el almacenamiento interno del dispositivo. Ninguna diapositiva dice cómo se implantaría el malware, pero una vez que se hayan robado las claves OTA, sería tan simple como enviar un mensaje de texto.
