Ranije ovog tjedna, Karsten Nohl, istraživač sigurnosti na SR Labs, otkrio je svoje otkriće goleme rupe u enkripciji SIM kartice zbog koje bi čak 750 milijuna od 7 milijardi uređaja sa SIM karticama u svijetu moglo biti ranjivo na napad. Ne samo vaše prosječne hakerske smicalice – ako je SIM kartica vašeg telefona ugrožena, to je telefonski ekvivalent krađi identiteta. Uljez može napraviti mnogo štete.
SIM kartica – ili Subscriber Identity Module – govori vašem bežičnom operateru tko ste i da vam može vjerovati. Hakeri koji iskoriste vašu SIM karticu mogli bi pristupiti vašem računu bežičnog operatera, nekim porukama i kontaktima te identifikacijskim informacijama vaše mreže. Koristeći te informacije, mogli bi izmijeniti vaš račun operatera, preusmjeriti vaše telefonske pozive, klonirati vaš telefonski broj na drugi telefon, ukrasti vaše vjerodajnice za plaćanje (uključujući neke NFC aplikacije za plaćanje), promijenite govornu poštu, šaljite SMS-ove kao vi i saznajte svoju točnu lokaciju pinganjem svog operatera, između ostalog. Popis podlih postupaka mogućih s pristupom SIM-u je velik, a provaliti u vaš telefon gotovo je lako kao slanje tekstualne poruke.
Preporučeni videozapisi
Korisnici AT&T, Sprint, T-Mobile i Verizon sigurni su
Srećom, možda se ne morate brinuti. Unatoč mnogima nejasna i zastrašujuća izvješća kruži, ako živite u Sjedinjenim Državama, vaša SIM kartica (ona mala kartica koja se obično nalazi ispod baterije vašeg telefona) vjerojatno nije u opasnosti od hakiranja.
Predstavnici sva četiri glavna bežična operatera u Sjedinjenim Državama – AT&T, Sprint, T-Mobile i Verizon – potvrdili su za Digital Trends da ne koriste stariji, 56-bitni DES (Standard šifriranja podataka) SIM-ovi koji su ranjivi na Nohlov exploit. Ovaj standard starenja iz 1977. još uvijek se koristi u nekim područjima diljem svijeta i daleko je manje siguran od novijih standarda iz 1998. poput AES-a (Napredni standard šifriranja) i Trostruki DES. To znači da je velika većina pretplatnika u Sjedinjenim Državama sigurna. Većina manjih operatera poput Virgina, Boosta, Tinga i drugih odustaje od glavnih mreža operatera, što ih također čini sigurnima od ovog iskorištavanja.
Ako slučajno posjedujete telefon star na granici sedam godina, kupite novi. Inače ste sigurni.
Sprint i Verizon, koji uopće nisu koristili SIM kartice sve dok nisu počeli postavljati brze 4G LTE mreže, rekli su nam da "100 posto" njihovih SIM kartica koristi novije, sigurnije standarde šifriranja.
"SIM kartice Verizona nisu ranjive na ovaj potencijalni napad zbog načina na koji su dizajnirane i proizvedene", rekao je predstavnik Verizona. "Vrlo ozbiljno shvaćamo privatnost i sigurnost naših korisnika i nastavit ćemo surađivati s našim dobavljačima SIM kartica, industrijskim grupama i drugima kako bismo spriječili i osujetili sve sigurnosne probleme."
AT&T i T-Mobile jesu koristili ranjivi DES standard u prošlosti, ali su koristili Triple DES mnogo godina. Predstavnici AT&T-a rekli su da nisu koristili hakirani standard "gotovo desetljeće". T-Mobile nije koristio to na "najmanje sedam godina". Ako slučajno posjedujete telefon star skoro sedam godina, kupite novi jedan. Inače ste sigurni. I predstavnici T-Mobilea potvrdili su nam da su i pretplatnici Metro PCS-a sigurni.
Još jedan razlog da ne brinete
Ali što biste trebali učiniti ako ne koristite jednog od velikih američkih prijevoznika ili a manji pružatelj usluga koji koristi jednu od njihovih mreža? Trebate li se zabrinuti? Nohl kaže da bi svi trebali ostati mirni.
“Trenutno nema razloga za zabrinutost, jer će kriminalcima vjerojatno trebati mjeseci da ponove rezultate istraživanja”, kaže Nohl za Digital Trends. "Ako, do trenutka kada to učine, mreže nisu implementirale mrežnu obranu ili nadogradile svoje SIM kartice na daljinu, možda je vrijeme da zatražite novu SIM." On dodaje, "Zlostavljanje je vjerojatno još nekoliko mjeseci", a SR Labs je podijelio rezultate "prije nekoliko mjeseci i bio je u vrlo konstruktivnom dijalogu s nosiocima ikad od."
Nohlov tim proveo je tri godine i testirao više od 1000 SIM kartica kako bi otkrio grešku. Nohl će govoriti detaljnije o ranjivosti na BlackHat konferenciji o sigurnosti 1. kolovoza 2013.
Što učiniti ako ste i dalje zabrinuti
Ako ne živite u Sjedinjenim Državama ili ne znate status svog operatera, najbolje je da nazovete svog mobilnog operatera i pitate.
"Pitanje pružatelja usluga za više informacija trenutačno je najbolja opcija", rekao je Roel Schouwenberg, viši sigurnosni istraživač u Kaspersky Lab. "Nadam se da će brzo djelovati i uskoro pružiti više informacija na svojim web stranicama."
"Ova bi vijest trebala poslužiti kao poziv na uzbunu svim pružateljima usluga koji još uvijek koriste zastarjelu tehnologiju", dodaje Schouwenberg, “kao i naglašavanje važnosti promicanja novih sigurnosnih razvoja kada moguće.”
Schouwenberg ističe da nema brzog rješenja za ovu eksploataciju SIM kartice ako je imate. Telefoni pogođeni ranjivošću SIM kartice (poput starijih preklopnih telefona) nemaju pristup nikakvom obliku sigurnosnog softvera koji bi mogao spriječiti napade. Ali ako ste u Sjedinjenim Državama, vjerojatno ste sigurni. Ako niste, imate nekoliko mjeseci da se prebacite na ažurnijeg operatera.
Ažurirao Jeffrey Van Camp 25. 7. 2013.: Možemo potvrditi da Metro PCS također koristi Triple DES, tako da su korisnici te usluge, koja je sada u vlasništvu T-Mobilea, sigurni od ove ranjivosti.
Članak izvorno objavljen 24.7.2013.
Preporuke urednika
- Najiritantnija značajka iPhonea 14 mogla bi biti gora na iPhoneu 15
- Ima li iPhone 14 SIM karticu?
