Anfang dieser Woche sagte Karsten Nohl, Sicherheitsforscher bei SR Labs, enthüllte seine Entdeckung einer massiven Lücke in der SIM-Kartenverschlüsselung, die bis zu 750 Millionen der 7 Milliarden SIM-Kartengeräte auf der Welt anfällig für Angriffe machen könnte. Nicht nur die üblichen Hacking-Macher – wenn die SIM-Karte Ihres Telefons kompromittiert wird, kommt das einem Identitätsdiebstahl gleich. Ein Eindringling kann großen Schaden anrichten.
Eine SIM-Karte – oder Subscriber Identity Module – teilt Ihrem Mobilfunkanbieter mit, wer Sie sind und dass Sie vertrauenswürdig sind. Hacker, die Ihre SIM-Karte ausnutzen, könnten auf Ihr Mobilfunkanbieterkonto, einige SMS und Kontakte sowie Ihre Netzwerkidentifikationsinformationen zugreifen. Mithilfe dieser Informationen könnten sie Ihr Mobilfunkanbieterkonto ändern, Ihre Anrufe umleiten, Ihre Telefonnummer auf ein anderes Telefon klonen oder Ihre Zahlungsdaten stehlen (einschließlich einiger NFC-Zahlungs-Apps), ändern Sie Ihre Voicemail, senden Sie Textnachrichten, wenn Sie möchten, und ermitteln Sie unter anderem Ihren genauen Standort, indem Sie Ihren Mobilfunkanbieter anpingen. Die Liste der abscheulichen Taten, die beim SIM-Zugriff möglich sind, ist lang und der Einbruch in Ihr Telefon ist fast so einfach wie das Versenden einer Textnachricht.
Empfohlene Videos
Benutzer von AT&T, Sprint, T-Mobile und Verizon sind sicher
Glücklicherweise müssen Sie sich keine Sorgen machen. Trotz der vielen vage und beängstigende Berichte Wenn Sie in den Vereinigten Staaten leben, ist Ihre SIM-Karte (die kleine Karte, die sich normalerweise unter dem Akku Ihres Telefons befindet) wahrscheinlich nicht dem Risiko ausgesetzt, gehackt zu werden.
Vertreter aller vier großen Mobilfunkanbieter in den Vereinigten Staaten – AT&T, Sprint, T-Mobile und Verizon – haben gegenüber Digital Trends bestätigt, dass sie das ältere 56-Bit-DES nicht verwenden (Datenverschlüsselungsstandard) SIMs, die für Nohls Exploit anfällig sind. Dieser veraltete Standard aus dem Jahr 1977 wird in einigen Regionen der Welt immer noch verwendet und ist weitaus weniger sicher als neuere Standards aus dem Jahr 1998 wie AES (fortgeschrittener Verschlüsselungsstandard) Und Dreifaches DES. Dies bedeutet, dass die überwiegende Mehrheit der Abonnenten in den Vereinigten Staaten sicher ist. Die meisten kleineren Netzbetreiber wie Virgin, Boost, Ting und andere greifen auf die Netze der großen Netzbetreiber zurück, sodass sie ebenfalls vor dieser Schwachstelle geschützt sind.
Wenn Sie ein Telefon besitzen, das fast sieben Jahre alt ist, kaufen Sie ein neues. Ansonsten sind Sie auf der sicheren Seite.
Sprint und Verizon, die überhaupt keine SIM-Karten verwendeten, bis sie mit der Bereitstellung von Hochgeschwindigkeits-4G-LTE-Netzwerken begannen, teilten uns mit, dass „100 Prozent“ ihrer SIM-Karten neuere, sicherere Verschlüsselungsstandards verwenden.
„SIM-Karten von Verizon sind aufgrund ihrer Konstruktion und Herstellung nicht anfällig für diesen potenziellen Angriff“, sagte ein Vertreter von Verizon. „Wir nehmen den Datenschutz und die Sicherheit unserer Kunden sehr ernst und werden weiterhin mit unseren SIM-Kartenanbietern, Branchengruppen und anderen zusammenarbeiten, um Sicherheitsbedenken vorzubeugen und auszuräumen.“
AT&T und T-Mobile nutzten in der Vergangenheit zwar den anfälligen DES-Standard, verwenden jedoch seit vielen Jahren Triple DES. Vertreter von AT&T gaben an, den hackbaren Standard seit „fast einem Jahrzehnt“ nicht mehr verwendet zu haben. T-Mobile wurde nicht verwendet es für „mindestens sieben Jahre“. Wenn Sie ein Telefon besitzen, das fast sieben Jahre alt ist, kaufen Sie ein neues eins. Ansonsten sind Sie auf der sicheren Seite. Vertreter von T-Mobile haben uns außerdem bestätigt, dass auch Metro PCS-Abonnenten sicher sind.
Ein weiterer Grund, sich keine Sorgen zu machen
Aber was sollten Sie tun, wenn Sie nicht einen der großen US-amerikanischen Anbieter oder einen anderen Anbieter nutzen? kleinerer Anbieter das eines ihrer Netzwerke nutzt? Sollten Sie sich Sorgen machen? Nohl sagt, alle sollten ruhig bleiben.
„Im Moment besteht kein Grund zur Sorge, da Kriminelle wahrscheinlich Monate brauchen werden, um die Forschungsergebnisse wieder umzusetzen“, sagt Nohl gegenüber Digital Trends. „Wenn die Netzwerke zu diesem Zeitpunkt noch keine Netzwerkverteidigung implementiert oder ihre SIM-Karten aus der Ferne aktualisiert haben, ist es möglicherweise an der Zeit, nach einer neuen SIM-Karte zu fragen.“ Er addiert, „Der Missbrauch ist wahrscheinlich noch Monate entfernt“, und SR Labs teilte die Ergebnisse „vor einigen Monaten mit und stand seit jeher in einem sehr konstruktiven Dialog mit den Trägern.“ seit."
Nohls Team hat drei Jahre lang mehr als 1.000 SIM-Karten getestet, um den Fehler zu entdecken. Nohl wird es tun ausführlicher sprechen über die Sicherheitslücke auf der BlackHat-Sicherheitskonferenz am 1. August 2013.
Was tun, wenn Sie immer noch besorgt sind?
Wenn Sie nicht in den USA leben oder den Status Ihres Mobilfunkanbieters nicht kennen, rufen Sie am besten Ihren Mobilfunkanbieter an und fragen Sie nach.
„Den Dienstanbieter um weitere Informationen zu bitten, ist derzeit die beste Option“, sagte Roel Schouwenberg, leitender Sicherheitsforscher bei Kaspersky Lab. „Hoffentlich werden sie schnell reagieren und in Kürze weitere Informationen auf ihren Websites bereitstellen.“
„Diese Nachricht sollte als Weckruf für alle Dienstleister dienen, die immer noch veraltete Technologie verwenden.“ fügt Schouwenberg hinzu, „und unterstreicht, wie wichtig es ist, neue Sicherheitsentwicklungen voranzutreiben, wenn.“ möglich."
Schouwenberg weist darauf hin, dass es keine schnelle Lösung für diesen SIM-Karten-Exploit gibt, wenn Sie über eine solche verfügen. Telefone, die von der SIM-Karten-Sicherheitslücke betroffen sind (wie ältere Flip-Phones), haben keinen Zugriff auf irgendeine Form von Sicherheitssoftware, die helfen könnte, Angriffe zu verhindern. Aber wenn Sie in den Vereinigten Staaten sind, sind Sie wahrscheinlich in Sicherheit. Ist dies nicht der Fall, haben Sie ein paar Monate Zeit, um zu einem aktuelleren Anbieter zu wechseln.
Aktualisiert am 25.07.2013 von Jeffrey Van Camp: Wir können bestätigen, dass Metro PCS auch Triple DES verwendet, sodass Benutzer dieses Dienstes, der jetzt T-Mobile gehört, vor dieser Sicherheitslücke sicher sind.
Der Artikel wurde ursprünglich am 24.07.2013 veröffentlicht.
Empfehlungen der Redaktion
- Die nervigste Funktion des iPhone 14 könnte beim iPhone 15 schlechter sein
- Hat das iPhone 14 eine SIM-Karte?
