Aiemmin tällä viikolla Karsten Nohl, turvallisuustutkija osoitteessa SR Labs, paljasti löytäneensä valtavan aukon SIM-kortin salauksessa, joka voi jättää jopa 750 miljoonaa maailman 7 miljardista SIM-kortilla varustetusta laitteesta alttiiksi hyökkäyksille. Ei vain tavallisia hakkerointijuttujasi – jos puhelimesi SIM-kortti vaarantuu, se vastaa puhelimen identiteettivarkautta. Tunkeutunut voi tehdä paljon vahinkoa.
SIM-kortti – tai Subscriber Identity Module – kertoo langattomalle operaattorillesi, kuka olet ja että sinuun voi luottaa. SIM-korttiasi hyödyntävät hakkerit voivat käyttää langattoman operaattorin tiliäsi, joitakin tekstejä ja yhteystietoja sekä verkon tunnistustietoja. Näiden tietojen avulla he voivat muokata operaattoritiliäsi, reitittää puhelusi uudelleen, kloonata puhelinnumerosi toiseen puhelimeen, varastaa maksutietosi. (mukaan lukien jotkin NFC-maksusovellukset), muuta vastaajaasi, lähetä tekstiviestejä omana itsenäsi ja saat tarkan sijaintisi pingillä operaattoriltasi. SIM-kortilla mahdollisten ilkeiden tekojen luettelo on korkea, ja puhelimeen murtautuminen on melkein yhtä helppoa kuin tekstiviestin lähettäminen.
Suositellut videot
AT&T: n, Sprintin, T-Mobilen ja Verizonin käyttäjät ovat turvassa
Onneksi sinun ei ehkä tarvitse huolehtia. Monista huolimatta epämääräisiä ja pelottavia raportteja jos asut Yhdysvalloissa, SIM-korttisi (se pieni kortti, joka yleensä sijaitsee puhelimen akun alla) ei todennäköisesti ole hakkeroinnin vaarassa.
Kaikkien neljän Yhdysvaltojen suurimman langattoman operaattorin – AT&T: n, Sprintin, T-Mobilen ja Verizonin – edustajat ovat vahvistaneet Digital Trendsillä, etteivät he käytä vanhempaa, 56-bittistä DES: ää (Tietojen salausstandardi) SIM-kortit, jotka ovat alttiita Nohlin hyväksikäytölle. Tätä vuoden 1977 vanhenemisstandardia käytetään edelleen joillakin alueilla ympäri maailmaa, ja se on paljon vähemmän turvallinen kuin uudemmat 1998 standardit, kuten AES (Advanced Encryption Standard) ja Kolminkertainen DES. Tämä tarkoittaa, että suurin osa tilaajista Yhdysvalloissa on turvassa. Useimmat pienemmät operaattorit, kuten Virgin, Boost, Ting ja muut, vetäytyvät suurista operaattoriverkoista, mikä tekee niistä turvassa myös tältä hyväksikäytöltä.
Jos sinulla on noin seitsemän vuotta vanha puhelin, osta uusi. Muuten olet turvassa.
Sprint ja Verizon, jotka eivät käyttäneet SIM-kortteja ollenkaan ennen kuin he alkoivat ottaa käyttöön nopeita 4G LTE -verkkoja, kertoivat meille, että "100 prosenttia" heidän SIM-korteistaan käyttävät uudempia, turvallisempia salausstandardeja.
"Verizonin SIM-kortit eivät ole alttiita tälle mahdolliselle hyökkäykselle niiden suunnittelun ja valmistustavan vuoksi", sanoi Verizonin edustaja. "Suhtaudumme asiakkaidemme yksityisyyteen ja turvallisuuteen erittäin vakavasti ja jatkamme yhteistyötä SIM-korttimyyjiemme, toimialaryhmiemme ja muiden kanssa estääksemme ja estääksemme kaikki turvallisuusongelmat."
AT&T ja T-Mobile käyttivät aiemmin haavoittuvaa DES-standardia, mutta ovat käyttäneet Triple DES: ää useiden vuosien ajan. AT&T: n edustajat sanoivat, että se ei ole käyttänyt hakkeroitavaa standardia "lähes kymmeneen vuoteen". T-Mobile ei ole käyttänyt se "vähintään seitsemän vuotta". Jos sinulla on noin seitsemän vuotta vanha puhelin, osta uusi yksi. Muuten olet turvassa. Myös T-Mobilen edustajat vahvistivat kanssamme, että myös Metro PCS -tilaajat ovat turvassa.
Toinen syy olla murehtimatta
Mutta mitä sinun pitäisi tehdä, jos et käytä yhtä suurista yhdysvaltalaisista operaattoreista tai a pienempi palveluntarjoaja joka käyttää jotakin heidän verkoistaan? Pitäisikö sinun olla huolissaan? Nohl sanoo, että kaikkien pitäisi pysyä rauhallisena.
"Tällä hetkellä ei ole syytä huoleen, sillä rikollisilta menee todennäköisesti kuukausia tutkimustulosten uudelleen käyttöönotossa", Nohl kertoo Digital Trendsille. "Jos verkot eivät ole siihen mennessä ottaneet käyttöön verkon suojauksia tai päivittäneet SIM-korttejaan etänä, voi olla aika pyytää uutta SIM-korttia." Hän lisää, "Väärinkäyttö on todennäköisesti vielä kuukausien päässä", ja että SR Labs jakoi tulokset "useita kuukausia sitten ja ovat käyneet erittäin rakentavaa vuoropuhelua kuljettajien kanssa". siitä asti kun."
Nohlin tiimi vietti kolme vuotta ja testasi yli 1 000 SIM-korttia löytääkseen vian. Nohl tulee puhua tarkemmin haavoittuvuudesta BlackHat-tietoturvakonferenssissa 1. elokuuta 2013.
Mitä tehdä, jos olet edelleen huolissasi
Jos et asu Yhdysvalloissa tai et tiedä operaattorisi tilaa, sinun kannattaa soittaa matkapuhelinoperaattorillesi ja kysyä.
"Lisätietojen kysyminen palveluntarjoajalta on tällä hetkellä paras vaihtoehto", sanoi Roel Schouwenberg, vanhempi tietoturvatutkija Kaspersky Lab. "Toivottavasti he toimivat nopeasti ja tarjoavat pian lisätietoja verkkosivuillaan."
"Tämän uutisen pitäisi toimia herätyksenä kaikille palveluntarjoajille, jotka edelleen käyttävät vanhentunutta tekniikkaa." lisää Schouwenberg, "sekä korostaa uusien turvallisuuskehitysten ajamisen tärkeyttä, kun mahdollista.”
Schouwenberg huomauttaa, että tälle SIM-kortin hyväksikäytölle ei ole nopeaa korjausta, jos sinulla on se. Puhelimella, johon SIM-kortin haavoittuvuus vaikuttaa (kuten vanhemmilla läppäpuhelimilla), ei ole pääsyä minkäänlaisiin tietoturvaohjelmistoihin, jotka voisivat auttaa estämään hyökkäyksiä. Mutta jos olet Yhdysvalloissa, olet todennäköisesti turvassa. Jos et, sinulla on muutama kuukausi aikaa vaihtaa uusimpaan operaattoriin.
Päivitetty 25.7.2013 Jeffrey Van Camp: Voimme vahvistaa, että Metro PCS käyttää myös Triple DES: ää, joten tämän nyt T-Mobilen omistaman palvelun käyttäjät ovat turvassa haavoittuvuudesta.
Artikkeli julkaistu alun perin 24.7.2013.
Toimittajien suositukset
- IPhone 14:n ärsyttävin ominaisuus saattaa olla huonompi iPhone 15:ssä
- Onko iPhone 14:ssä SIM-kortti?
