По-рано тази седмица Карстен Нол, изследовател по сигурността в SR Labs, разкри откритието си за огромна дупка в криптирането на SIM картата, която може да остави 750 милиона от 7-те милиарда устройства със SIM карта в света уязвими за атака. Не само обикновените хакерски манипулации – ако SIM картата на телефона ви е компрометирана, това е телефонен еквивалент на кражба на самоличност. Един натрапник може да причини много щети.
SIM карта – или модул за идентификация на абоната – казва на вашия безжичен оператор кой сте и че може да ви се има доверие. Хакери, които експлоатират вашата SIM карта, могат да получат достъп до вашия акаунт на безжичен оператор, някои текстови съобщения и контакти, както и информацията за вашата мрежова идентификация. Използвайки тази информация, те биха могли да променят акаунта ви при оператора, да пренасочат телефонните ви обаждания, да клонират телефонния ви номер към друг телефон, да откраднат идентификационните ви данни за плащане (включително някои приложения за плащане с NFC), променяйте гласовата си поща, изпращайте текстови съобщения като вас и получавате точното си местоположение чрез ping на вашия оператор, наред с други неща. Списъкът с подли действия, възможни с достъп до SIM, е голям и проникването в телефона ви е почти толкова лесно, колкото изпращането на текстово съобщение.
Препоръчани видеоклипове
Потребителите на AT&T, Sprint, T-Mobile и Verizon са в безопасност
За щастие може да не се притеснявате. Въпреки многото неясни и страшни доклади Ако живеете в Съединените щати, вашата SIM карта (тази малка карта, която обикновено се намира под батерията на телефона ви) вероятно не е изложена на риск от хакване.
Представители на четирите основни безжични оператора в Съединените щати – AT&T, Sprint, T-Mobile и Verizon – потвърдиха с Digital Trends, че не използват по-стария, 56-битов DES (Стандарт за криптиране на данни) SIM карти, които са уязвими от експлойта на Nohl. Този стандарт за стареене от 1977 г. все още се използва в някои области по света и е много по-малко сигурен от по-новите стандарти от 1998 г. като AES (Разширен стандарт за криптиране) и Троен DES. Това означава, че по-голямата част от абонатите в Съединените щати са в безопасност. Повечето по-малки оператори като Virgin, Boost, Ting и други се отдръпват от големите операторски мрежи, което ги предпазва и от този експлойт.
Ако случайно притежавате телефон, който граничи със седем години, отидете да си купите нов. В противен случай сте в безопасност.
Sprint и Verizon, които изобщо не използваха SIM карти, докато не започнаха да разгръщат високоскоростни 4G LTE мрежи, ни казаха, че „100 процента“ от техните SIM карти използват по-нови, по-безопасни стандарти за криптиране.
„SIM картите на Verizon не са уязвими за тази потенциална атака поради начина, по който са проектирани и произведени“, каза представител на Verizon. „Ние приемаме поверителността и сигурността на нашите клиенти много сериозно и ще продължим да работим с нашите доставчици на SIM карти, индустриални групи и други, за да предотвратим и осуетим всякакви проблеми със сигурността.“
AT&T и T-Mobile са използвали уязвимия DES стандарт в миналото, но са използвали Triple DES в продължение на много години. Представители на AT&T казаха, че не са използвали стандарта за хакване от „почти десетилетие“. T-Mobile не е използвал за „поне седем години“. Ако случайно притежавате телефон, който граничи със седем години, отидете да си купите нов един. В противен случай сте в безопасност. Представителите на T-Mobile също ни потвърдиха, че абонатите на Metro PCS също са в безопасност.
Още една причина да не се притеснявате
Но какво трябва да направите, ако не използвате някой от големите превозвачи в САЩ или a по-малък доставчик който използва една от техните мрежи? Трябва ли да се тревожите? Нол казва, че всички трябва да запазят спокойствие.
„За момента няма причина за безпокойство, тъй като на престъпниците вероятно ще им трябват месеци, за да приложат отново резултатите от изследването“, казва Нол пред Digital Trends. „Ако до момента, в който го направят, мрежите не са внедрили мрежови защити или не са обновили своите SIM отдалечено, може да е време да поискате нова SIM.“ Той добавя, „Злоупотребата вероятно е още след месеци“ и че SR Labs сподели резултати „преди няколко месеца и са били в много конструктивен диалог с превозвачите досега от."
Екипът на Nohl прекара три години и тества повече от 1000 SIM карти, за да открие грешката. Нол ще говори по-подробно относно уязвимостта на конференцията за сигурност на BlackHat на 1 август 2013 г.
Какво да направите, ако все още се притеснявате
Ако не живеете в Съединените щати или не знаете състоянието на вашия оператор, най-добре е да се обадите на мобилния си оператор и да попитате.
„Попитането на доставчика на услуги за повече информация в момента е най-добрият вариант“, каза Роел Шоувенберг, старши изследовател по сигурността в Kaspersky Lab. „Надяваме се, че ще действат бързо и скоро ще предоставят повече информация на уебсайтовете си.“
„Тази новина трябва да послужи като сигнал за събуждане за всички доставчици на услуги, които все още използват остаряла технология“, добавя Schouwenberg, „както и да подчертае важността на изтласкването на нови разработки в областта на сигурността, когато възможен."
Schouwenberg посочва, че няма бързо решение за този експлойт на SIM картата, ако го имате. Телефоните, засегнати от уязвимостта на SIM картата (като по-старите флип телефони), нямат достъп до никаква форма на софтуер за сигурност, който би могъл да помогне за предотвратяване на атаки. Но ако сте в Съединените щати, вероятно сте в безопасност. Ако не сте, имате няколко месеца, за да преминете към по-актуален оператор.
Актуализирано на 25.07.2013 г. от Джефри Ван Камп: Можем да потвърдим, че Metro PCS също използва Triple DES, така че потребителите на тази услуга, която сега е собственост на T-Mobile, са защитени от тази уязвимост.
Статията е публикувана първоначално на 24.7.2013 г.
Препоръки на редакторите
- Най-досадната функция на iPhone 14 може да е по-лоша при iPhone 15
- iPhone 14 има ли SIM карта?
