十年不更新的技术，让SIM卡成为了手机里的恶魔

众所周知，手机市场如今面临着比过去激烈得多的竞争局面。而这也就意味着对于所有的厂商来说，他们都不得不加快新品换代的步伐，同时在自家*级旗舰上“塞”进更多的创新科技：譬如以往难得一见的优质屏幕、以及现在流行的多摄等等。而除了强大的硬件之外，自2018年以来，手机品牌们对于系统更新的积极性也明显增强了，特别是在AndroidP和Android10这两个大版本的更新速度上，都表现出了难得的积极性。

很显然，以上两点改变对于大多数手机用户的使用感受都有着积极的意义，更强的旗舰机意味着高端用户、*级玩家们所能买到的性能和享受进一步增强；而积极的系统更新更是具备普适意义，不管是旗舰机还是中端机，都有望从中得到免费的性能与功能强化。

然而即便手机厂商再努力，在那最强技术铸就的硬件“躯体”里，在最新操作系统和安全补丁的加持下，却依然可能常驻着一位“恶魔”。它可以在不知不觉中监控我们的位置，在某些APP里显示广告或者钓鱼链接，甚至还可以未经我们允许就直接拨打电话、发送短信、盗取话费。

看到这些，你是不是以为我们要讲到某个手机病毒？是不是以为自己只要平时手机使用习惯良好就能幸免？很遗憾并非如此，因为这个恶魔，就是我们手机里必备的、每天都离不开的SIM卡。

就在两周前，移动网络安全公司AdaptiveMobile Security成为了首个勇于揭开SIM卡黑幕的勇士。据他们声称，他们发现全球许多SIM卡内部都存在一个名为S@T Browser的程序，它原本是用于查询SIM卡余额，只需向手机发送一条特定的短信，就能直接激活SIM卡的这个隐藏功能。但是如今的运营商早就不需要使用SIM卡的这一功能了，可S@T Browser程序却依然存在于SIM卡内部，而且被懂得其中门道的黑客和别有用心的人用于非法定位和追踪他人。据统计，全球目前有约10亿手机用户的SIM卡中内含这个存在隐患的过时程序，而得不到有效的修正或者防范。

然而，AdaptiveMobile Security的研究人员可能没有意识到，他们关于SIM卡内置程序的这一安全报告很快就变成了打开潘多拉魔盒的钥匙。因为仅仅两周之后，另一家安全实验室Ginno又公布了一个全新的SIM卡漏洞WIB，与“前辈”相比，它的威力更大、也能干更多“坏事”。

具体来说，WIB同样也是一个“年久失修”的SIM卡内置程序。只不过和仅仅只能查查话费、报告一下定位的S@T Browser不同，WIB（ Wireless Internet Browser）作为SIM卡内置的一套浏览器程序，不仅具备传统网页浏览器的全部功能，而且还能控制手机的通话、短信。这就意味着一旦SIM中的WIB漏洞被心怀不轨者所利用，就可以越过传统手机的安全防护机制，直接在手机上打开恶意网站，让手机自动拨打陌生的电话（比如高价的长途通话或者声讯服务），或是成为发送垃圾短信的“肉鸡”……唯一或许可能大概值得欣慰的是，据估计存在WIB漏洞的SIM卡数量没有受S@T Browser影响的那么多：后者影响10亿用户，而前者仅有个位数，嗯，单位也是亿（喂！）。

那么问题就来了，为什么SIM卡里会有这么些软件漏洞、甚至可以说是软件后门呢？这个问题的答案，其实就和我们一开始说到的智能手机高速的更新换代有点关系了，因为虽然智能手机这么些年来一直不断地在更新，但大家更新的多半是性能、屏幕、拍照、外观设计这些用户看得到、摸得着的地方。至于说对SIM卡的支持方面，除了苹果早早地提出SIM卡理应被淘汰之外，其余大多数的手机品牌却都选择了继续容忍、兼容这一古老的、源自上个世纪的通信组件。

而也正是这种运营商、手机厂商统统“不作为”的状况，才使得毫无生存压力的SIM卡在技术发展速度上相对于智能手机来说简直是慢如蜗牛。最终便导致了SIM内置的过时功能代码，到头来反而成为了影响十几亿人通讯安全的严重漏洞这样的事件。

事实上，最初揭露SIM卡安全漏洞的AdaptiveMobile Security，就曾批评SIM卡的生产商们至少10年没有更新过相关功能组件的代码，这才导致了问题的产生——10年来SIM卡的开发者、生产者，几乎就是躺着就把钱赚了。一方面是智能手机日新月异、基础通讯技术不断换代，但另一方面却是SIM卡相关的利益方们至少懒惰了10年之久，这难道不是非常讽刺的一件事吗？