Νωρίτερα αυτή την εβδομάδα, ο Karsten Nohl, ερευνητής ασφάλειας στο Εργαστήρια SR, αποκάλυψε την ανακάλυψή του για μια τεράστια τρύπα στην κρυπτογράφηση της κάρτας SIM που θα μπορούσε να αφήσει έως και 750 εκατομμύρια από τα 7 δισεκατομμύρια συσκευές με κάρτα SIM στον κόσμο ευάλωτα σε επιθέσεις. Όχι μόνο οι κατά μέσο όρο παραβίαση πειρατείας - εάν η κάρτα SIM του τηλεφώνου σας έχει παραβιαστεί, είναι το ισοδύναμο του τηλεφώνου με κλοπή ταυτότητας. Ένας εισβολέας μπορεί να κάνει μεγάλη ζημιά.
Μια κάρτα SIM – ή μια Μονάδα Ταυτότητας Συνδρομητή – λέει στον πάροχο ασύρματης επικοινωνίας ποιος είστε και ότι μπορείτε να είστε αξιόπιστοι. Οι χάκερ που εκμεταλλεύονται τη SIM σας θα μπορούσαν να έχουν πρόσβαση στον λογαριασμό ασύρματου παρόχου σας, σε ορισμένα κείμενα και επαφές και στις πληροφορίες αναγνώρισης του δικτύου σας. Χρησιμοποιώντας αυτές τις πληροφορίες, θα μπορούσαν να τροποποιήσουν τον λογαριασμό της εταιρείας κινητής τηλεφωνίας σας, να επαναδρομολογήσουν τις τηλεφωνικές σας κλήσεις, να κλωνοποιήσουν τον αριθμό τηλεφώνου σας σε άλλο τηλέφωνο, να κλέψουν τα διαπιστευτήρια πληρωμής σας (συμπεριλαμβανομένων ορισμένων εφαρμογών πληρωμής NFC), αλλάξτε τον αυτόματο τηλεφωνητή σας, στείλτε μηνύματα κειμένου μαζί σας και λάβετε την ακριβή τοποθεσία σας κάνοντας ping μεταξύ άλλων στην εταιρεία κινητής τηλεφωνίας σας. Ο κατάλογος των άθλιων πράξεων που είναι δυνατές με την πρόσβαση σε SIM είναι μεγάλος και η είσοδος στο τηλέφωνό σας είναι σχεδόν τόσο εύκολη όσο η αποστολή ενός μηνύματος κειμένου.
Προτεινόμενα βίντεο
Οι χρήστες AT&T, Sprint, T-Mobile και Verizon είναι ασφαλείς
Ευτυχώς, μπορεί να μην χρειάζεται να ανησυχείτε. Παρά τα πολλά ασαφείς και τρομακτικές αναφορές που κυκλοφορεί, εάν ζείτε στις Ηνωμένες Πολιτείες, η κάρτα SIM (αυτή η μικρή κάρτα που συνήθως βρίσκεται κάτω από την μπαταρία του τηλεφώνου σας) πιθανότατα δεν κινδυνεύει να παραβιαστεί.
Εκπρόσωποι και από τους τέσσερις μεγάλους παρόχους ασύρματης επικοινωνίας στις Ηνωμένες Πολιτείες – AT&T, Sprint, T-Mobile και Verizon – επιβεβαίωσαν με το Digital Trends ότι δεν χρησιμοποιούν το παλαιότερο, 56-bit DES (Πρότυπο κρυπτογράφησης δεδομένων) SIM που είναι ευάλωτες στην εκμετάλλευση του Nohl. Αυτό το πρότυπο γήρανσης από το 1977 εξακολουθεί να χρησιμοποιείται σε ορισμένες περιοχές σε όλο τον κόσμο και είναι πολύ λιγότερο ασφαλές από τα νεότερα πρότυπα του 1998 όπως το AES (Προηγμένο πρότυπο κρυπτογράφησης) και Τριπλό DES. Αυτό σημαίνει ότι η συντριπτική πλειοψηφία των συνδρομητών στις Ηνωμένες Πολιτείες είναι ασφαλής. Οι περισσότεροι μικρότεροι μεταφορείς, όπως οι Virgin, Boost, Ting και άλλοι, αποχωρούν από τα μεγάλα δίκτυα παρόχων, καθιστώντας τους ασφαλείς και από αυτό το exploit.
Εάν τυχαίνει να έχετε ένα τηλέφωνο που είναι περίπου επτά ετών, αγοράστε ένα καινούργιο. Διαφορετικά, είσαι ασφαλής.
Η Sprint και η Verizon, που δεν χρησιμοποίησαν καθόλου κάρτες SIM έως ότου άρχισαν να αναπτύσσουν δίκτυα υψηλής ταχύτητας 4G LTE, μας είπαν ότι το "100 τοις εκατό" των καρτών SIM τους χρησιμοποιούν νεότερα, ασφαλέστερα πρότυπα κρυπτογράφησης.
«Οι κάρτες SIM της Verizon δεν είναι ευάλωτες σε αυτή την πιθανή επίθεση λόγω του τρόπου με τον οποίο σχεδιάζονται και κατασκευάζονται», δήλωσε εκπρόσωπος της Verizon. «Λαμβάνουμε πολύ σοβαρά υπόψη το απόρρητο και την ασφάλεια των πελατών μας και θα συνεχίσουμε να συνεργαζόμαστε με τους προμηθευτές μας καρτών SIM, τις βιομηχανικές ομάδες και άλλους για να αποτρέψουμε και να αποτρέψουμε τυχόν ανησυχίες για την ασφάλεια».
Η AT&T και η T-Mobile χρησιμοποίησαν το ευάλωτο πρότυπο DES στο παρελθόν, αλλά χρησιμοποιούσαν το Triple DES για πολλά χρόνια. Οι εκπρόσωποι της AT&T είπαν ότι δεν έχει χρησιμοποιήσει το πρότυπο με δυνατότητα hackable για «σχεδόν μια δεκαετία». Η T-Mobile δεν έχει χρησιμοποιήσει για «τουλάχιστον επτά χρόνια». Αν τύχει να έχετε ένα τηλέφωνο με ηλικία επτά ετών, αγοράστε ένα καινούργιο ένας. Διαφορετικά, είσαι ασφαλής. Οι εκπρόσωποι της T-Mobile επιβεβαίωσαν επίσης μαζί μας ότι οι συνδρομητές Metro PCS είναι επίσης ασφαλείς.
Άλλος ένας λόγος για να μην ανησυχείτε
Αλλά τι πρέπει να κάνετε εάν δεν χρησιμοποιείτε έναν από τους μεγάλους αερομεταφορείς των Η.Π.Α μικρότερο πάροχο που χρησιμοποιεί ένα από τα δίκτυά τους; Πρέπει να ανησυχείτε; Ο Nohl λέει ότι όλοι πρέπει να παραμείνουν ήρεμοι.
«Προς το παρόν, δεν υπάρχει λόγος ανησυχίας, καθώς οι εγκληματίες πιθανότατα θα χρειαστούν μήνες για να επαναλάβουν τα αποτελέσματα της έρευνας», λέει ο Nohl στο Digital Trends. "Εάν, μέχρι να το κάνουν, τα δίκτυα δεν έχουν εφαρμόσει άμυνες δικτύου ή δεν έχουν αναβαθμίσει τις SIM τους εξ αποστάσεως, ίσως είναι καιρός να ζητήσετε μια νέα SIM." Αυτός προσθέτει, «Η κατάχρηση είναι πιθανώς ακόμη μήνες μακριά» και ότι η SR Labs κοινοποίησε τα αποτελέσματα «πριν από αρκετούς μήνες και ήταν σε έναν πολύ εποικοδομητικό διάλογο με τους μεταφορείς Από."
Η ομάδα του Nohl πέρασε τρία χρόνια και δοκίμασε περισσότερες από 1.000 κάρτες SIM για να ανακαλύψει το σφάλμα. Ο Nohl θα μιλήστε πιο αναλυτικά σχετικά με την ευπάθεια στη διάσκεψη ασφαλείας BlackHat την 1η Αυγούστου 2013.
Τι να κάνετε αν εξακολουθείτε να ανησυχείτε
Εάν δεν ζείτε στις Ηνωμένες Πολιτείες ή δεν γνωρίζετε την κατάσταση της εταιρείας κινητής τηλεφωνίας σας, το καλύτερο στοίχημά σας είναι να καλέσετε την εταιρεία κινητής τηλεφωνίας σας και να ρωτήσετε.
«Το να ζητάς από τον πάροχο υπηρεσιών για περισσότερες πληροφορίες είναι αυτή τη στιγμή η καλύτερη επιλογή», δήλωσε ο Roel Schouwenberg, ανώτερος ερευνητής ασφάλειας στο Kaspersky Lab. «Ας ελπίσουμε ότι θα κινηθούν γρήγορα και θα παρέχουν περισσότερες πληροφορίες στους ιστότοπούς τους σύντομα».
«Αυτές οι ειδήσεις θα πρέπει να χρησιμεύσουν ως κλήση αφύπνισης σε όλους τους παρόχους υπηρεσιών που εξακολουθούν να χρησιμοποιούν απαρχαιωμένη τεχνολογία». προσθέτει ο Schouwenberg, «καθώς και να τονίσει τη σημασία της προώθησης νέων εξελίξεων στον τομέα της ασφάλειας όταν δυνατόν."
Ο Schouwenberg επισημαίνει ότι δεν υπάρχει γρήγορη λύση για αυτήν την εκμετάλλευση κάρτας SIM, εάν την έχετε. Τα τηλέφωνα που επηρεάζονται από την ευπάθεια της κάρτας SIM (όπως τα παλαιότερα αναδιπλούμενα τηλέφωνα) δεν έχουν πρόσβαση σε καμία μορφή λογισμικού ασφαλείας που θα μπορούσε να βοηθήσει στην αποτροπή επιθέσεων. Αλλά αν βρίσκεστε στις Ηνωμένες Πολιτείες, πιθανότατα είστε ασφαλείς. Εάν δεν είστε, έχετε μερικούς μήνες για να μεταβείτε σε μια πιο ενημερωμένη εταιρεία κινητής τηλεφωνίας.
Ενημερώθηκε στις 25-7-2013 από τον Jeffrey Van Camp: Μπορούμε να επιβεβαιώσουμε ότι το Metro PCS χρησιμοποιεί επίσης Triple DES, επομένως οι χρήστες αυτής της υπηρεσίας, η οποία ανήκει πλέον στην T-Mobile, είναι ασφαλείς από αυτήν την ευπάθεια.
Το άρθρο δημοσιεύθηκε αρχικά 24-7-2013.
Συστάσεις των συντακτών
- Το πιο ενοχλητικό χαρακτηριστικό του iPhone 14 μπορεί να είναι χειρότερο στο iPhone 15
- Το iPhone 14 έχει κάρτα SIM;
