Исследователь Богдан Алеку продемонстрировал на конференции DefCamp в Румынии логические недостатки в стандарте SIM Toolkit — специальных приложений, часто размещаемых на SIM-картах операторами мобильной связи. Недостатки стандарта дают мошенникам возможность без ведома владельца телефона организовать отправку SMS на платные номера, утверждает Алеку, или создать трудности с получением обычных текстовых сообщений.
Приложения SIM Toolkit могут получать команды посредством особым образом форматированных SMS — как правило, их отправляют операторы связи. Чтобы команда была исполнена, SMS должно содержать цифровую подпись. Хотя способа взлома методов шифрования, используемых при обмене сообщениями, пока не существует, мошенники могут воспользоваться другой возможностью. Дело в том, что при получении неправильной команды телефон автоматически отправляет сообщение об ошибке, а в SMS можно указать номер, на который оно должно быть отправлено.
Лучшим способом борьбы с этой атакой было бы ограничение оператором номеров, с которых можно отправлять сообщения в формате SIM Toolkit, считает исследователь, но никто из операторов его пока не реализовал.