A hét elején Karsten Nohl, a biztonsági kutató a SR Labs, felfedte, hogy hatalmas lyukat fedezett fel a SIM-kártya titkosításában, amely a világ 7 milliárd SIM-kártyás eszközéből akár 750 milliót is kiszolgáltatottá tehet a támadásoknak. Nem csak az átlagos hackelési trükkjei – ha telefonja SIM-kártyája veszélybe kerül, az a személyazonosság-lopásnak felel meg. Egy behatoló rengeteg kárt okozhat.
A SIM-kártya – vagy a Subscriber Identity Module – tudatja vezeték nélküli szolgáltatójával, hogy ki vagy, és hogy megbízhat benned. A SIM-kártyáját kihasználó hackerek hozzáférhetnek vezeték nélküli szolgáltatói fiókjához, bizonyos szövegekhez és névjegyekhez, valamint az Ön hálózatazonosító információihoz. Ezen információk felhasználásával módosíthatják szolgáltatói fiókját, átirányíthatják a telefonhívásait, klónozhatják telefonszámát egy másik telefonra, ellophatják fizetési hitelesítő adatait. (beleértve egyes NFC fizetőalkalmazásokat), módosítsa hangpostáját, küldjön üzeneteket saját maga, és többek között a szolgáltató pingelésével szerezze meg pontos tartózkodási helyét. A SIM-hozzáféréssel lehetséges aljas cselekmények listája magas, és a telefonba való behatolás szinte olyan egyszerű, mint egy szöveges üzenet küldése.
Ajánlott videók
Az AT&T, a Sprint, a T-Mobile és a Verizon felhasználók biztonságban vannak
Szerencsére nem kell aggódnia. A sok ellenére homályos és ijesztő jelentéseket ha az Egyesült Államokban él, akkor a SIM-kártyáját (az a kis kártya, amely általában a telefon akkumulátora alatt található) valószínűleg nem fenyegeti a feltörés veszélye.
Az Egyesült Államok mind a négy nagy vezeték nélküli szolgáltatója – az AT&T, a Sprint, a T-Mobile és a Verizon – képviselői a Digital Trends segítségével megerősítették, hogy nem használják a régebbi, 56 bites DES-t (Adattitkosítási szabvány) SIM-kártyák, amelyek ki vannak téve Nohl kihasználásának. Ezt az 1977-es öregedési szabványt még mindig használják a világ egyes területein, és sokkal kevésbé biztonságos, mint az újabb 1998-as szabványok, például az AES (Fejlett titkosítási szabvány) és Tripla DES. Ez azt jelenti, hogy az Egyesült Államokban az előfizetők túlnyomó többsége biztonságban van. A legtöbb kisebb szolgáltató, mint például a Virgin, a Boost, a Ting és mások, kihátrálnak a főbb szolgáltatói hálózatokból, így ők is biztonságban vannak ettől a kizsákmányolástól.
Ha történetesen hét éves telefonja van, vegyen egy újat. Ellenkező esetben biztonságban vagy.
A Sprint és a Verizon, amelyek egyáltalán nem használtak SIM-kártyákat, amíg el nem kezdték a nagy sebességű 4G LTE hálózatok kiépítését, elmondták, hogy SIM-kártyáik „100 százaléka” újabb, biztonságosabb titkosítási szabványokat használ.
„A Verizon SIM-kártyák tervezésük és gyártásuk módja miatt nem kiszolgáltatottak ennek a potenciális támadásnak” – mondta a Verizon képviselője. "Nagyon komolyan vesszük ügyfeleink magánéletét és biztonságát, és továbbra is együttműködünk SIM-kártya-gyártóinkkal, iparági csoportjainkkal és másokkal a biztonsági aggályok megelőzése és meghiúsítása érdekében."
Az AT&T és a T-Mobile korábban a sebezhető DES-szabványt használta, de évek óta a Triple DES-t. Az AT&T képviselői azt mondták, hogy „közel egy évtizede” nem használta a feltörhető szabványt. A T-Mobile nem használta „legalább hét évig”. Ha történetesen hét éves telefonja van, vegyen egy újat egy. Ellenkező esetben biztonságban vagy. A T-Mobile képviselői is megerősítették velünk, hogy a Metro PCS előfizetők is biztonságban vannak.
Még egy ok, hogy ne aggódjon
De mit kell tennie, ha nem valamelyik nagy amerikai szolgáltatót vagy a kisebb szolgáltató amely az egyik hálózatukat használja? Aggódnia kell? Nohl szerint mindenkinek nyugodtnak kell maradnia.
„Jelenleg nincs ok az aggodalomra, mivel a bűnözőknek valószínűleg hónapokba telnek, mire újrahasznosítják a kutatási eredményeket” – mondta Nohl a Digital Trendsnek. "Ha addigra a hálózatok nem valósították meg a hálózati védelmet vagy nem frissítették a SIM-kártyáikat távolról, akkor lehet, hogy ideje új SIM-et kérni." Hozzáteszi, „A visszaélések valószínűleg még hónapok múlva várhatók”, és az SR Labs „néhány hónappal ezelőtt megosztotta az eredményeket, és nagyon konstruktív párbeszédet folytatott a hordozókkal. mivel."
Nohl csapata három évet töltött és több mint 1000 SIM-kártyát tesztelt, hogy felfedezzék a hibát. Nohl fog beszéljen részletesebben a sérülékenységről a BlackHat biztonsági konferencián 2013. augusztus 1-jén.
Mi a teendő, ha még mindig aggódik
Ha nem az Egyesült Államokban él, vagy nem ismeri szolgáltatója állapotát, a legjobb megoldás az, ha felhívja mobilszolgáltatóját, és megkérdezi.
„Jelenleg a legjobb megoldás, ha további információkat kér a szolgáltatótól” – mondta Roel Schouwenberg, a vállalat vezető biztonsági kutatója. Kaspersky Lab. "Remélhetőleg gyorsan fognak lépni, és hamarosan további információkkal szolgálnak a weboldalukon."
"Ez a hír ébresztőként szolgálhat minden olyan szolgáltató számára, amely még mindig elavult technológiát használ" hozzáteszi Schouwenberg, „valamint kiemeli az új biztonsági fejlesztések előmozdításának fontosságát, amikor lehetséges."
Schouwenberg rámutat, hogy nincs gyors javítás erre a SIM-kártya kihasználására, ha rendelkezik vele. A SIM-kártya sebezhetősége által érintett telefonok (mint például a régebbi flip telefonok) nem férnek hozzá semmilyen biztonsági szoftverhez, amely segíthetne a támadások megelőzésében. De ha az Egyesült Államokban tartózkodik, valószínűleg biztonságban van. Ha nem, akkor néhány hónapja van, hogy naprakészebb szolgáltatóra váltson.
Frissítve 2013. 07. 25-én, Jeffrey Van Camp: Megerősíthetjük, hogy a Metro PCS is Triple DES-t használ, így az immár a T-Mobile tulajdonában lévő szolgáltatás felhasználói biztonságban vannak a biztonsági réstől.
A cikk eredeti megjelenése 2013.07.24.
Szerkesztői ajánlások
- Az iPhone 14 legbosszantóbb funkciója rosszabb lehet az iPhone 15-ön
- Az iPhone 14-ben van SIM-kártya?