Simjacker non è l'unica vulnerabilità che colpisce le schede SIM recentemente scoperta: all'elenco si aggiunge WIBattack svelata dai ricercatori di Ginno Security Lab. Lo schema è basato sull'esecuzione di exploit che colpiscono app che si trovano sulla stessa SIM card. Nel caso specifico l'app presa di mira è WIB (Wireless Internet Browser), un applet Java che viene preinstallato dagli operatori telefonici sulle SIM card con lo scopo di consentire la gestione remota del dispositivo dell'utente e delle relative offerte mobile.

Secondo Ginno Security Lab, anche WIB potrebbe essere attaccata mediante l'invio di un SMS appositamente formattato (SMS OTA) che dà il via all'esecuzione di comandi (SIM Toolkit) nelle SIM card sulle quali l'operatore telefonico non ha attivato determinate funzioni di sicurezza. E' bene chiarire che, secondo le indagini dei ricercatori, non si è a conoscenza di attacchi effettivamente portati a termine sfruttando tale vulnerabilità; al tempo stesso, il numero di comandi che è possibile inviare allo smartphone tramite l'exploit è notevole e porta a ritenere comunque opportuno non abbassare la guardia.

Le istruzioni supportate dall'app WIB consentono, ad esempio, di conoscere i dati sulla posizione, avviare un chiamata, inviare un SIM, indirizzare il browser internet verso uno specifico indirizzo, o mostrare un messaggio di testo sul terminale. In teoria, quindi, l'hacker potrebbe quindi essere in grado di tracciare gli spostamenti della vittima, far partire una chiamata e ascoltare le conversazioni nelle vicinanze.

In base alle stime effettuate da Ginno Security Lab, la vulnerabilità interesserebbe centinaia di milioni di schede SIM, tuttavia il dato non è unanimemente accettato nel settore: un rapporto di SRLabs ottenuto da ZDnet ha evidenziato che delle 800 schede SIM provenienti da tutto il mondo, solo il 10,7% aveva preinstallato WIB e tra queste solo il 3,5% era vulnerabile all'attacco.

SRLabs ha messo a punto due app (SIMTester e SnoopSnitch, una per desktop e l'altra per Android con root e SoC Qualcomm), che gli utenti possono usare per individuare vulnerabilità della propria scheda SIM): dai dati della telemetria di una delle due (SnoopSnitch) è risultato che su oltre 500.000 utenti solo una minima parte ha ricevuto messaggi SMS OTA come quelli necessari a sfruttare la vulnerabilità di WIBattack (e di Simjacker), il maggior numero era indirizzato agli utenti in America Latina e Sud America.

In breve, non è opportuno scatenare allarmismi, anche considerando che ci sono altre forme di attacco molto più diffuse, come quelle che sfruttano la falla nel protocollo SS7 o il social engineering (ovvero tutte le tecniche che portano un utente a rivelare informazioni sensibili come password o dati bancari). Secondo SRLabs, statisticamente, queste ultime vengono utilizzate molto più spesso rispetto a Simjacker o a WIBattack.

L'hacker invia un SMS (OTA SMS) al numero della vittima tramite il quale si prende il controllo del terminale