Začátkem tohoto týdne Karsten Nohl, bezpečnostní výzkumník v SR Labsodhalil svůj objev obrovské díry v šifrování SIM karet, která by mohla způsobit, že až 750 milionů ze 7 miliard zařízení se SIM kartou na světě je zranitelných vůči útoku. Nejde jen o vaše průměrné hackerské podvody – pokud dojde ke kompromitaci SIM karty vašeho telefonu, jedná se o ekvivalent telefonu jako krádež identity. Vetřelec může napáchat hodně škody.
SIM karta – neboli Subscriber Identity Module – sděluje vašemu bezdrátovému operátorovi, kdo jste a že vám lze důvěřovat. Hackeři, kteří zneužijí vaši SIM kartu, mohou získat přístup k vašemu účtu bezdrátového operátora, některým textům a kontaktům a identifikačním údajům vaší sítě. Pomocí těchto informací by mohli upravit váš účet operátora, přesměrovat vaše telefonní hovory, naklonovat vaše telefonní číslo do jiného telefonu, ukrást vaše platební údaje (včetně některých platebních aplikací NFC), změňte svou hlasovou schránku, posílejte textové zprávy jako vy a mimo jiné zjistěte svou přesnou polohu pomocí příkazu ping na svého operátora. Seznam podlých činů, které jsou možné s přístupem na SIM kartu, je vysoký a nabourání se do vašeho telefonu je téměř stejně snadné jako odeslání textové zprávy.
Doporučená videa
Uživatelé AT&T, Sprint, T-Mobile a Verizon jsou v bezpečí
Naštěstí se nemusíte bát. Navzdory mnoha nejasné a děsivé zprávy Pokud žijete ve Spojených státech, vaše SIM karta (ta malá karta, která se obvykle nachází pod baterií vašeho telefonu) pravděpodobně není ohrožena hacknutím.
Zástupci všech čtyř hlavních bezdrátových operátorů ve Spojených státech – AT&T, Sprint, T-Mobile a Verizon – potvrdili Digital Trends, že nepoužívají starší 56bitové DES (Standard šifrování dat) SIM karty, které jsou zranitelné vůči Nohlově exploitu. Tento standard stárnutí z roku 1977 se stále používá v některých oblastech po celém světě a je mnohem méně bezpečný než novější standardy z roku 1998, jako je AES (Pokročilý standard šifrování) a Trojitý DES. To znamená, že drtivá většina předplatitelů ve Spojených státech je v bezpečí. Většina menších operátorů, jako jsou Virgin, Boost, Ting a další, se stahuje z hlavních sítí operátorů, takže jsou také chráněni před tímto zneužitím.
Pokud náhodou vlastníte telefon, který je téměř sedm let starý, kupte si nový. Jinak jste v bezpečí.
Společnosti Sprint a Verizon, které SIM karty vůbec nepoužívaly, dokud nezačaly nasazovat vysokorychlostní sítě 4G LTE, nám řekly, že „100 procent“ jejich SIM karet používá novější a bezpečnější šifrovací standardy.
„SIM karty Verizon nejsou zranitelné vůči tomuto potenciálnímu útoku kvůli způsobu, jakým jsou navrženy a vyrobeny,“ řekl zástupce Verizonu. „Soukromí a bezpečnost našich zákazníků bereme velmi vážně a budeme pokračovat ve spolupráci s našimi prodejci SIM karet, průmyslovými skupinami a dalšími, abychom zabránili a zmařili jakékoli obavy o bezpečnost.“
AT&T a T-Mobile v minulosti používali zranitelný standard DES, ale používali Triple DES již mnoho let. Zástupci AT&T uvedli, že hackovatelný standard nepoužili „téměř deset let“. T-Mobile nevyužil na „nejméně sedm let“. Pokud náhodou vlastníte telefon, který je starý téměř sedm let, kupte si nový jeden. Jinak jste v bezpečí. Že jsou v bezpečí i předplatitelé Metro PCS, nám potvrdili i zástupci T-Mobile.
Další důvod, proč si nedělat starosti
Co byste ale měli dělat, pokud nepoužíváte jednoho z velkých amerických operátorů nebo a menší poskytovatel který používá jednu z jejich sítí? Měli byste mít obavy? Nohl říká, že by všichni měli zůstat v klidu.
„V tuto chvíli není důvod se znepokojovat, protože zločincům bude pravděpodobně trvat měsíce, než znovu implementují výsledky výzkumu,“ říká Nohl pro Digital Trends. "Pokud v době, kdy tak učiní, sítě neimplementovaly síťovou obranu nebo neupgradovaly své SIM karty na dálku, může být čas požádat o novou SIM." On přidává, „Zneužívání je pravděpodobně ještě měsíce vzdálené,“ a že SR Labs sdílely výsledky „před několika měsíci a byly ve velmi konstruktivním dialogu s nositeli. od té doby."
Nohlův tým strávil tři roky a testoval více než 1000 SIM karet, aby odhalil chybu. Nohl bude mluvit podrobněji o zranitelnosti na bezpečnostní konferenci BlackHat 1. srpna 2013.
Co dělat, pokud máte stále obavy
Pokud nežijete ve Spojených státech nebo neznáte status svého operátora, nejlepší bude zavolat mobilnímu operátorovi a zeptat se.
„Požádat poskytovatele služeb o více informací je v současné době nejlepší možností,“ řekl Roel Schouwenberg, hlavní bezpečnostní výzkumník ve společnosti Kaspersky Lab. "Doufám, že se budou rychle pohybovat a brzy poskytnou více informací na svých webových stránkách."
"Tato zpráva by měla sloužit jako probuzení všem poskytovatelům služeb, kteří stále používají zastaralé technologie," dodává Schouwenberg, „stejně jako zdůraznit důležitost prosazování nových bezpečnostních trendů možný."
Schouwenberg poukazuje na to, že pro toto zneužití SIM karty neexistuje žádná rychlá oprava, pokud ji máte. Telefony postižené zranitelností SIM karty (jako starší vyklápěcí telefony) nemají přístup k žádné formě bezpečnostního softwaru, který by mohl pomoci zabránit útokům. Ale pokud jste ve Spojených státech, pravděpodobně jste v bezpečí. Pokud nejste, máte několik měsíců na to, abyste přešli na aktuálnějšího operátora.
Aktualizováno 25. 7. 2013 Jeffrey Van Campem: Můžeme potvrdit, že Metro PCS také používá Triple DES, takže uživatelé této služby, kterou nyní vlastní T-Mobile, jsou před touto zranitelností v bezpečí.
Článek původně publikován 24.7.2013.
Doporučení redakce
- Nejnepříjemnější funkce iPhone 14 může být horší na iPhone 15
- Má iPhone 14 SIM kartu?