sim toolkit что это такое
Эмуляция и перехват SIM-команд через SIM Toolkit на Android 5.1 и ниже (CVE-2015-3843)
Я обнаружил эту уязвимость, исследуя возможность перехвата одноразовых паролей, которые отправлялись банком поставщику телекоммуникационных услуг, а затем поступали на специальное приложение SIM-карты и выводились на пользовательский интерфейс Android.
Перехват
Представьте, что на SIM-карте есть небольшое приложение, которое получает сообщение от оператора связи и показывает его на экране вашего Android-устройства. Если покопаться в исходниках Android, можно наткнуться на класс com.android.internal.telephony.cat.CatService, который отвечает за передачу команд между слоем радиоинтерфейса (Radio Interface Layer, RIL) и ОС.
И, наконец, broadcastCatCmdIntent() :
А вот эта часть довольно занятная:
Как злоумышленник может этим воспользоваться?
Например, использовать вредоносное приложение, не требующее дополнительных привилегий, для перехвата команд, отправляемых SIM-картой на телефон. Для этого необходимо лишь зарегистрировать receiver с действием android.intent.action.stk.command и получить STK CMD из интента.
Пример перехваченной команды:
Это объект Parcelable в байтах. Преобразовав Hex в ASCII, вы получите сообщение SIM-карты.
Эмуляция
Однако это лишь половина уязвимости. Рассмотрим приложение, которое получает вот такое широковещательное сообщение:
Это приложение называется SIM Toolkit (STK) и является частью стандартного Android-фреймворка. Исходники можно найти тут.
1. SIM-карта запрашивает подтверждение некоторой операции, скажем, транзакции в интернет-банке, выводя на экран телефона сообщение типа «Подтвердить транзакцию № 1234 на сумму 100 500 рублей» с двумя опциями — «ОК» и «Отмена». Код на StkDialogActivity.java:
2. Если пользователь нажмет «ОК», будет вызвана команда sendResponse(StkAppService.RES_ID_CONFIRM, true) ; в противном случае — sendResponse(StkAppService.RES_ID_CONFIRM, false) ;.
3. Что, если при помощи действия android.intent.action.stk.command создать такое же диалоговое окно с другим текстом (поддельное) и вывести его на экран за несколько секунд до генерации SIM-картой оригинального сообщения («Подтвердить транзакцию № 1234 на сумму 100 500 рублей»)? В тексте сообщения напишем «Нажмите ОК для закрытия», а кнопки оставим те же — «ОК» и «Отмена».
4. Пользователь не увидит оригинальный диалог с подтверждением транзакции, пока не выберет одну из этих опций в поддельном окне, так как все команды, требующие взаимодействия с пользователем, помещаются в очередь.
5. Итак, мы остановились на следующем:
Здесь сообщается, что «Недопустимым является отклик, который не имеет соответствующей проактивной команды и отправка которого может “сбить с толку” baseband/ril». На деле, если RIL или SIM-карта будут получать от вас неожиданные отклики, последствия могут быть непредсказуемыми. В ходе моего исследования несколько SIM-карт вышло из строя, так и не загрузив меню.
Заключение
Команда AOSP устранила эту ошибку в обновлении Android 5.1.1 для Nexus-устройств (сборка LMY48I).
Вот некоторые из моих патчей:
Автор: Руководитель отдела безопасности мобильных приложений Positive Technologies (англоязычная версия материала)
SIM-меню: что это такое и можно ли его удалить?
Приложение SIM-меню, позволяющее подключать различные услуги, для операционной системы Android является уже предустановленным, но морально устаревшим. Что необходимо сделать, чтобы удалить его?
Приложение «SIM-Меню» на многочисленных Android-смартфонах находится в общем меню Программы (Инструменты). Мы расскажем вам о том, что из себя представляет данное приложение и как вы можете его удалить.
Android: что может SIM-Меню
Приложение SIM-Меню для операционной системы Android является уже предустановленным. Какой контент вы найдете в данном приложении, полностью зависит от вашего поставщика услуг мобильной связи. Этот контент считывается с SIM-карты через приложение.
Как правило, через приложение SIM-Меню можно посмотреть различную информацию, а также заказывать у оператора сотовой связи некоторые платные услуги. В качестве примера таких сервисов можем привести прогноз погоды, новости или услугу будильника. На сегодняшний день это приложение по большей части себя уже изжило.
Удаляем SIM-Меню: вот как это делается
К сожалению, просто так удалить SIM-Toolkit не получится. Тем не менее, при наличии соответствующих прав, удаление этого приложения можно произвести без последствий для смартфона.
Нужен ли мне SIM Toolkit на моем телефоне?
Нужен ли SIM Toolkit?
SIM Toolkit отображает список таких вещей, как гороскопы, музыкальные видеоклипы, чат и т. Д. Это зависит от вашего поставщика услуг, и вы не очень много теряете, не имея возможности его использовать! Вы не можете удалить приложение, если ваш телефон не рутирован. Но, на мой взгляд, оставьте его, не удаляйте его, потому что это действительно маленькое приложение.
Могу ли я удалить SIM Toolkit?
Если рассматриваемое приложение хранится в / system и его нельзя отключить, то удалить / отключить без рута невозможно. Android просто не позволяет «пользователю» возиться с системными приложениями. … Смонтируйте систему как rw и удалите приложение (я бы рекомендовал скопировать его на свой компьютер в качестве резервной копии на случай, если что-то сломается).
Что такое SIM Toolkit и нужен ли он мне?
SIM Application Toolkit (STK) — это стандарт системы GSM, который позволяет модулю идентификации абонента (SIM-карте) инициировать действия, которые могут использоваться для различных дополнительных услуг. … SIM-карта также дает команды трубке, такие как отображение меню и / или запрос ввода данных пользователем.
Что такое набор инструментов для SIM-карты на моем телефоне?
SIM Toolkit — это отдельное приложение, которое можно найти только на устройствах Android. … Приложение SIM Toolkit — это центр управления стикером KnowRoaming SIM. После того, как наклейка SIM будет прикреплена к вашей SIM-карте и снова вставлена в телефон, набор инструментов для SIM-карты будет доступен в меню приложений.
SIM Toolkit — это вирус?
Это не вирус! Не волнуйтесь, это системное приложение, которое уже хранится и установлено компанией! Это не вирус!
Как активировать Android Toolkit для SIM-карты?
Как мне избавиться от приложения SIM Toolkit?
Как восстановить набор инструментов для SIM-карты?
Он находится в меню приложений вместе со всеми другими вашими приложениями.
Для чего нужен инструментарий?
Инструментарий — это набор авторитетных и адаптируемых ресурсов для непосредственного персонала, который позволяет им узнать о проблеме и определить подходы к ее решению. Наборы инструментов могут помочь претворить теорию в жизнь и, как правило, нацелены на одну проблему или одну аудиторию.
Что означает инструментарий?
существительное. набор инструментов, предназначенных для совместного использования или для определенной цели. программное обеспечение, предназначенное для выполнения определенной функции, особенно для решения проблем, связанных с набором инструментов для онлайн-принтера.
Как установить приложение SIM Toolkit?
SIM Toolkit Android будет автоматически отображаться на вашем устройстве в меню приложения.
…
Установка приложения:
YGPS — шпионское ПО?
Быстрый поиск в Google показывает, что это, возможно, не шпионское ПО, но, возможно, это просто плохо разработанное приложение, у которого есть все эти разрешения, чтобы оно не запускало ошибку из-за отсутствия разрешений.
Как мне получить доступ к SIM Toolkit на моем iPhone?
Как получить доступ к набору SIM-карты iPhone?
Где находится SIM Toolkit в Mi Phone?
В телефонах MI набор инструментов sim находится внутри папки инструментов.
7 полезных приложений для управления SIM-картой на Android
Управление SIM-картой телефона занимает довольно мало места в списке приоритетов большинства людей. Вы вставляете чип, когда покупаете устройство, и, вероятно, не задумываетесь о нем, пока не придет время обновить его, и вам нужно будет снова его извлечь.
Но ваша SIM-карта содержит удивительное количество данных. Если вы установите на своем телефоне Android несколько приложений для управления SIM-картой, вы сможете легко получить доступ к этим данным и управлять ими.
Какие данные есть на SIM-карте?
Карта модуля идентификации абонента (SIM-карта) содержит удивительно большой объем данных о вашем телефоне:
Каковы лучшие приложения для управления SIM-картами для Android? Давайте посмотрим поближе.
1. My SIM Toolkit Manager
Приложение My SIM Toolkit Manager позволяет получить доступ к данным, которые мы обсуждали выше, но также позволяет быстро просмотреть другую полезную информацию о вашем устройстве.
Вы можете использовать приложение, чтобы узнать свой номер IMSI, идентификатор устройства (номера IMEI, MEID и ESN), тип сети, ваш текущий роуминг, ваш сетевой провайдер и тип телефона.
Приложение также позволит вам увидеть некоторую другую информацию, которую вы не можете легко найти в другом месте на устройстве, включая серийный номер SIM-карты, эмитента и страну происхождения.
Что касается управления данными, вы можете использовать My SIM Toolkit Manager для просмотра всех контактов, хранящихся на SIM-карте. Он также поддерживает поиск, добавление, редактирование и удаление контактов.
Скачать: My SIM Toolkit Manager (бесплатно)
Набор инструментов для SIM-карты состоит из набора команд, запрограммированных в SIM-карте, которые определяют, как SIM-карта должна напрямую взаимодействовать с внешним миром, и инициировать команды независимо от телефона и сети. Это позволяет SIM-карте создавать интерактивный обмен между сетевым приложением и конечным пользователем, а также осуществлять доступ или управлять доступом к сети. SIM-карта также дает команды трубке, такие как отображение меню и / или запрос ввода данных пользователем.
STK был развернут многими операторами мобильной связи по всему миру для многих приложений, часто требующих подхода на основе меню, таких как мобильный банкинг и просмотр контента. Разработанный как единая прикладная среда, STK может быть запущен при первоначальном включении SIM-карты и особенно подходит для низкоуровневых приложений с простыми пользовательскими интерфейсами.
В сетях GSM набор инструментов приложения SIM определяется стандартом GSM 11.14, выпущенным в 2001 году. Начиная с версии 4, GSM 11.14 был заменен на 3GPP TS 31.111, который также включает спецификации набора инструментов приложения USIM для сетей 3 / 4G.
СОДЕРЖАНИЕ
Преимущества
Ограничения
Обновление программного обеспечения Android выполняется через GSM, при этом SIM Toolkit может автоматически устанавливаться вместе с новым программным обеспечением независимо от приложений автоматической установки.
Изменение приложений и меню, хранящихся на SIM-карте, затруднено после того, как клиент получает SIM-карту, и иногда может быть распознано как программное обеспечение для наблюдения.
В STK практически нет поддержки мультимедиа, только базовые картинки.
Технология STK имеет ограниченную доступную независимую поддержку разработки.