Tidligere på ugen skrev Karsten Nohl, sikkerhedsforsker ved SR Labs, afslørede hans opdagelse af et massivt hul i SIM-kort-kryptering, der kunne efterlade så mange som 750 millioner af de 7 milliarder SIM-kort-enheder i verden sårbare over for angreb. Ikke kun dine gennemsnitlige hacking-galskaber - hvis din telefons SIM-kort er kompromitteret, er det telefonsvarende til identitetstyveri. En ubuden gæst kan gøre meget skade.
Et SIM-kort – eller Subscriber Identity Module – fortæller din trådløse operatør, hvem du er, og at du kan stole på. Hackere, der udnytter dit SIM-kort, kan få adgang til din trådløse operatørkonto, nogle tekster og kontakter og dine netværksidentifikationsoplysninger. Ved at bruge disse oplysninger kan de ændre din mobilkonto, omdirigere dine telefonopkald, klone dit telefonnummer til en anden telefon, stjæle dine betalingsoplysninger (herunder nogle NFC-betalingsapps), skift din telefonsvarer, send sms'er ud som dig og få din nøjagtige placering ved blandt andet at pinge din udbyder. Listen over modbydelige handlinger, der er mulige med SIM-adgang, er høj, og det er næsten lige så nemt at bryde ind på din telefon som at sende en sms.
Anbefalede videoer
AT&T-, Sprint-, T-Mobile- og Verizon-brugere er sikre
Heldigvis behøver du måske ikke bekymre dig. På trods af de mange vage og skræmmende rapporter cirkulerer, hvis du bor i USA, er dit SIM-kort (det lille kort, der normalt sidder under din telefons batteri) sandsynligvis ikke i risiko for at blive hacket.
Repræsentanter fra alle fire store trådløse udbydere i USA – AT&T, Sprint, T-Mobile og Verizon – har bekræftet med Digital Trends, at de ikke bruger den ældre 56-bit DES (Datakrypteringsstandard) SIM'er, der er sårbare over for Nohls udnyttelse. Denne aldringsstandard fra 1977 bruges stadig i nogle områder rundt om i verden og er langt mindre sikker end nyere 1998-standarder som AES (Avanceret krypteringsstandard) og Triple DES. Det betyder, at langt de fleste abonnenter i USA er sikre. De fleste mindre luftfartsselskaber som Virgin, Boost, Ting og andre trækker sig tilbage fra de store transportnetværk, hvilket gør dem også sikre fra denne udnyttelse.
Hvis du tilfældigvis ejer en telefon, der grænser op til syv år gammel, så køb en ny. Ellers er du sikker.
Sprint og Verizon, som slet ikke brugte SIM-kort, før de begyndte at implementere højhastigheds 4G LTE-netværk, fortalte os, at "100 procent" af deres SIM-kort bruger nyere, sikrere krypteringsstandarder.
"Verizon SIM-kort er ikke sårbare over for dette potentielle angreb på grund af den måde, de er designet og fremstillet på," sagde en Verizon-repræsentant. "Vi tager vores kunders privatliv og sikkerhed meget alvorligt, og vi vil fortsætte med at arbejde med vores SIM-kortleverandører, industrigrupper og andre for at forhindre og modarbejde sikkerhedsproblemer."
AT&T og T-Mobile brugte tidligere den sårbare DES-standard, men har brugt Triple DES i mange år. AT&T-repræsentanter sagde, at de ikke har brugt den hackbare standard i "næsten et årti." T-Mobile har ikke brugt det i "mindst syv år". Hvis du tilfældigvis ejer en telefon, der grænser op til syv år gammel, så køb en ny en. Ellers er du sikker. T-Mobile-repræsentanter bekræftede også med os, at Metro PCS-abonnenter også er sikre.
Endnu en grund til ikke at bekymre sig
Men hvad skal du gøre, hvis du ikke bruger en af de store amerikanske luftfartsselskaber eller en mindre udbyder der bruger et af deres netværk? Bør du være bekymret? Nohl siger, at alle skal holde sig i ro.
"I øjeblikket er der ingen grund til at være bekymret, da kriminelle sandsynligvis vil tage måneder at genimplementere forskningsresultaterne," siger Nohl til Digital Trends. "Hvis netværk på det tidspunkt, hvor de gør det, ikke har implementeret netværksforsvar eller opgraderet deres SIM'er eksternt, kan det være på tide at bede om et nyt SIM." Han tilføjer, "Misbrug er sandsynligvis stadig måneder væk," og at SR Labs delte resultater "for flere måneder siden og har været i en meget konstruktiv dialog med bærerne nogensinde siden."
Nohls team brugte tre år og testede mere end 1.000 SIM-kort for at opdage fejlen. Nohl vil tale mere detaljeret om sårbarheden på BlackHat-sikkerhedskonferencen den 1. august 2013.
Hvad skal du gøre, hvis du stadig er bekymret
Hvis du ikke bor i USA eller ikke kender status for dit mobilselskab, er dit bedste bud at ringe til dit mobilselskab og spørge.
"At bede tjenesteudbyderen om mere information er i øjeblikket den bedste mulighed," sagde Roel Schouwenberg, senior sikkerhedsforsker ved Kaspersky Lab. "Forhåbentlig vil de bevæge sig hurtigt og give mere information på deres hjemmesider inden længe."
"Denne nyhed bør tjene som et wake-up call til alle tjenesteudbydere, der stadig bruger forældet teknologi," tilføjer Schouwenberg, "samt fremhæve vigtigheden af at skubbe nye sikkerhedsudviklinger ud, når muligt."
Schouwenberg påpeger, at der ikke er nogen hurtig løsning til denne SIM-kortudnyttelse, hvis du har den. Telefoner, der er berørt af SIM-kortets sårbarhed (som ældre flip-telefoner) har ikke adgang til nogen form for sikkerhedssoftware, der kan hjælpe med at forhindre angreb. Men hvis du er i USA, er du sandsynligvis sikker. Hvis du ikke er det, har du et par måneder til at skifte til en mere opdateret udbyder.
Opdateret den 25-7-2013 af Jeffrey Van Camp: Vi kan bekræfte, at Metro PCS også bruger Triple DES, så brugere af denne tjeneste, som nu ejes af T-Mobile, er sikret mod denne sårbarhed.
Artikel oprindeligt offentliggjort 24-7-2013.
Redaktørens anbefalinger
- iPhone 14s mest irriterende funktion kan være værre på iPhone 15
- Har iPhone 14 et SIM-kort?
