Selle nädala alguses oli julgeolekuteadlane Karsten Nohl SR Labs, paljastas oma avastuse SIM-kaardi krüptimises tohutu augu kohta, mis võib jätta 750 miljonit maailma 7 miljardist SIM-kaardiga seadmest rünnakute eest haavatavaks. Mitte ainult teie keskmised häkkimisvihad – kui teie telefoni SIM-kaart on ohus, on see telefoni samaväärne identiteedivargusega. Sissetungija võib teha palju kahju.
SIM-kaart ehk abonendi identiteedimoodul annab teie traadita side operaatorile teada, kes te olete ja et teid võib usaldada. Häkkerid, kes kasutavad teie SIM-kaarti, pääsevad juurde teie traadita side operaatori kontole, mõnele tekstile ja kontaktidele ning teie võrgu tuvastamise teabele. Seda teavet kasutades võivad nad muuta teie operaatori kontot, suunata teie telefonikõnesid ümber, kloonida teie telefoninumbri teisele telefonile, varastada teie maksemandaate. (sealhulgas mõned NFC-makserakendused), muutke oma kõneposti, saatke endana tekstsõnumeid ja hankige oma täpne asukoht muuhulgas operaatori pingiga. SIM-kaardi juurdepääsuga võimalike alatute tegude loend on suur ja telefoni sissemurdmine on peaaegu sama lihtne kui tekstisõnumi saatmine.
Soovitatavad videod
AT&T, Sprinti, T-Mobile'i ja Verizoni kasutajad on ohutud
Õnneks ei pruugi te muretseda. Vaatamata paljudele ebamäärased ja hirmutavad teated Kui elate Ameerika Ühendriikides, ei ole teie SIM-kaarti (see väike kaart, mis tavaliselt asub telefoni aku all) tõenäoliselt häkkimise oht.
Kõigi nelja suurema traadita side operaatori USA-s – AT&T, Sprint, T-Mobile ja Verizon – esindajad on Digital Trendsiga kinnitanud, et nad ei kasuta vanemat, 56-bitist DES-i (Andmete krüptimise standard) SIM-kaardid, mis on Nohli ärakasutamise suhtes haavatavad. Seda 1977. aastast pärit vananemisstandardit kasutatakse endiselt mõnes piirkonnas üle maailma ja see on palju vähem turvaline kui uuemad 1998. aasta standardid, nagu AES (Täiustatud krüpteerimisstandard) ja Kolmekordne DES. See tähendab, et enamik Ameerika Ühendriikide abonente on kaitstud. Enamik väiksemaid operaatoreid, nagu Virgin, Boost, Ting ja teised, loobuvad suurematest operaatorivõrkudest, muutes nad ka selle ärakasutamise eest kaitstuks.
Kui teil on seitse aastat vana telefon, ostke uus. Vastasel juhul olete ohutu.
Sprint ja Verizon, kes ei kasutanud üldse SIM-kaarte enne, kui hakkasid kasutusele võtma kiireid 4G LTE-võrke, ütlesid meile, et "100 protsenti" nende SIM-kaartidest kasutavad uuemaid ja turvalisemaid krüptimisstandardeid.
"Verizoni SIM-kaardid ei ole selle võimaliku rünnaku suhtes haavatavad, kuna need on kavandatud ja valmistatud," ütles Verizoni esindaja. "Me võtame oma klientide privaatsust ja turvalisust väga tõsiselt ning jätkame koostööd oma SIM-kaardi müüjate, tööstusgruppide ja teistega, et ennetada ja nurjata mis tahes turvaprobleeme."
AT&T ja T-Mobile kasutasid varem haavatavat DES-standardit, kuid on kasutanud Triple DES-i juba aastaid. AT&T esindajad ütlesid, et ta pole häkitavat standardit kasutanud "peaaegu kümme aastat". T-Mobile pole kasutanud seda "vähemalt seitse aastat". Kui teil on seitse aastat vana telefon, ostke uus üks. Vastasel juhul olete ohutu. Ka T-Mobile'i esindajad kinnitasid meiega, et ka Metro PCS-i abonendid on turvalised.
Veel üks põhjus, miks mitte muretseda
Mida peaksite aga tegema, kui te ei kasuta mõnda USA suurtest operaatoritest või a väiksem pakkuja mis kasutab ühte nende võrkudest? Kas peaksite muretsema? Nohl ütleb, et kõik peaksid rahulikuks jääma.
"Praegu pole põhjust muretsemiseks, sest kurjategijatel kulub uurimistulemuste taaskasutamiseks tõenäoliselt kuid," räägib Nohl väljaandele Digital Trends. "Kui võrgud pole selleks ajaks võrgukaitset rakendanud ega SIM-kaarte eemalt uuendanud, võib olla aeg küsida uut SIM-i." Ta lisab, "Väärkohtlemine on tõenäoliselt veel kuude kaugusel" ja et SR Labs jagas tulemusi mitu kuud tagasi ja on olnud väga konstruktiivses dialoogis aastast."
Nohli meeskond veetis kolm aastat ja testis vea avastamiseks enam kui 1000 SIM-kaarti. Nohl teeb räägi täpsemalt haavatavuse kohta 1. augustil 2013 BlackHati turvakonverentsil.
Mida teha, kui olete endiselt mures
Kui te ei ela Ameerika Ühendriikides või ei tea oma operaatori staatust, on kõige parem helistada oma mobiilioperaatorile ja küsida.
"Teenusepakkujalt lisateabe küsimine on praegu parim valik," ütles ettevõtte turvateadlane Roel Schouwenberg. Kaspersky Lab. "Loodetavasti liiguvad nad kiiresti ja annavad peagi oma veebisaitidel rohkem teavet."
"See uudis peaks olema äratuskõne kõigile teenusepakkujatele, kes kasutavad endiselt aegunud tehnoloogiat," lisab Schouwenberg, "ning rõhutada ka uute turvaarengute väljatõukamise tähtsust võimalik.”
Schouwenberg juhib tähelepanu sellele, et selle SIM-kaardi ärakasutamise jaoks pole kiiret lahendust, kui teil see on. Telefonidel, mida mõjutab SIM-kaardi haavatavus (nagu vanemad klapitavad telefonid), ei ole juurdepääsu ühelegi turbetarkvarale, mis võiks aidata ründeid ära hoida. Kuid kui olete Ameerika Ühendriikides, olete tõenäoliselt ohutu. Kui te seda ei tee, on teil mõni kuu aega uuemale operaatorile üle minna.
Värskendatud 25.7.2013 Jeffrey Van Campi poolt: Võime kinnitada, et Metro PCS kasutab ka Triple DES-i, nii et selle teenuse kasutajad, mis nüüd kuulub T-Mobile'ile, on selle haavatavuse eest kaitstud.
Artikkel avaldati algselt 24.7.2013.
Toimetajate soovitused
- IPhone 14 kõige tüütum funktsioon võib iPhone 15 puhul halvem olla
- Kas iPhone 14-l on SIM-kaart?
