מוקדם יותר השבוע, קרסטן נוהל, חוקר אבטחה ב SR Labs, חשף את גילויו של חור עצום בהצפנת כרטיס ה-SIM שעלול להשאיר עד 750 מיליון מתוך 7 מיליארד מכשירי ה-SIM בעולם חשופים להתקפה. לא רק מעשי הפריצה הממוצעים שלך - אם כרטיס ה-SIM של הטלפון שלך נפגע, זה שווה ערך בטלפון לגניבת זהות. פולש יכול לגרום נזק רב.
כרטיס SIM - או מודול זהות מנוי - אומר לספק האלחוטי שלך מי אתה ושאפשר לסמוך עליך. האקרים שמנצלים את ה-SIM שלך יכולים לגשת לחשבון הספק האלחוטי שלך, לכמה טקסטים ואנשי קשר ולפרטי זיהוי הרשת שלך. באמצעות המידע הזה, הם יכולים לשנות את חשבון הספק שלך, לנתב מחדש את שיחות הטלפון שלך, לשכפל את מספר הטלפון שלך לטלפון אחר, לגנוב את אישורי התשלום שלך (כולל כמה אפליקציות תשלום של NFC), שנה את הדואר הקולי שלך, שלח הודעות טקסט כמוך וקבל את המיקום המדויק שלך על ידי פינג לספק שלך, בין היתר. רשימת המעשים השפלים האפשריים עם גישת SIM גבוהה, ופריצה לטלפון שלך קלה כמעט כמו שליחת הודעת טקסט.
סרטונים מומלצים
משתמשי AT&T, Sprint, T-Mobile ו-Verizon בטוחים
למרבה המזל, ייתכן שלא תצטרך לדאוג. למרות הרבים דיווחים מעורפלים ומפחידים
מסתובב, אם אתה גר בארצות הברית, כרטיס ה-SIM שלך (הכרטיס הקטן הזה שבדרך כלל יושב מתחת לסוללת הטלפון שלך) כנראה אינו בסיכון להיפרץ.נציגים מכל ארבעת הספקים האלחוטיים הגדולים בארצות הברית - AT&T, Sprint, T-Mobile ו-Verizon - אישרו עם Digital Trends שהם לא משתמשים ב-DES הישן יותר, 56 סיביות (תקן הצפנת נתונים) SIMים שפגיעים לניצול של Nohl. תקן ההזדקנות הזה משנת 1977 עדיין בשימוש באזורים מסוימים ברחבי העולם, והוא הרבה פחות מאובטח מתקנים חדשים יותר משנת 1998 כמו AES (תקן הצפנה מתקדם) ו טריפל DES. המשמעות היא שהרוב המכריע של המנויים בארצות הברית בטוחים. רוב הספקים הקטנים יותר כמו Virgin, Boost, Ting ואחרים מתנתקים מרשתות הספקים הגדולות, מה שהופך אותם גם לבטוחים מפני ניצול זה.
אם במקרה יש לך טלפון על גבול בן שבע שנים, לכו לקנות טלפון חדש. אחרת, אתה בטוח.
Sprint ו-Verizon, שלא השתמשו כלל בכרטיסי SIM עד שהחלו לפרוס רשתות 4G LTE מהירות, אמרו לנו ש"100 אחוז" מכרטיסי ה-SIM שלהם משתמשים בתקני הצפנה חדשים ובטוחים יותר.
"כרטיסי ה-SIM של Verizon אינם פגיעים להתקפה הפוטנציאלית הזו בגלל האופן שבו הם מתוכננים ומיוצרים", אמר נציג Verizon. "אנו לוקחים את הפרטיות והאבטחה של הלקוחות שלנו ברצינות רבה, ונמשיך לעבוד עם ספקי כרטיסי ה-SIM שלנו, קבוצות תעשייה ואחרות כדי למנוע ולסכל כל חששות אבטחה."
AT&T ו-T-Mobile אמנם השתמשו בתקן DES הפגיע בעבר, אך השתמשו ב-Triple DES במשך שנים רבות. נציגי AT&T אמרו שהיא לא השתמשה בתקן הניתן לפריצה במשך "כמעט עשור". T-Mobile לא השתמש זה "לפחות שבע שנים". אם במקרה יש לך טלפון על גבול בן שבע שנים, לכו לקנות חדש אחד. אחרת, אתה בטוח. נציגי T-Mobile גם אישרו איתנו שגם מנויי Metro PCS בטוחים.
עוד סיבה לא לדאוג
אבל מה עליך לעשות אם אינך משתמש באחד מהספקים הגדולים בארה"ב או א ספק קטן יותר שמשתמש באחת מהרשתות שלהם? האם אתה צריך להיות מודאג? נוהל אומר שכולם צריכים להישאר רגועים.
"לעת עתה, אין סיבה לדאוג, שכן לפושעים ייקח ככל הנראה חודשים ליישם מחדש את תוצאות המחקר", אומר נוהל ל-Digital Trends. "אם עד שהן יעשו זאת, רשתות לא יישמו הגנות רשת או שדרגו את הסים שלהן מרחוק, ייתכן שהגיע הזמן לבקש סים חדש." הוא מוסיף, "סביר להניח שההתעללות עדיין בעוד חודשים", וכי SR Labs שיתפה תוצאות "לפני מספר חודשים וניהלו דיאלוג מאוד בונה עם הגורמים המובילים אי פעם מאז."
הצוות של Nohl בילה שלוש שנים ובדק יותר מ-1,000 כרטיסי SIM כדי לגלות את הבאג. נוהל יעשה זאת לדבר ביתר פירוט על הפגיעות בכנס האבטחה של BlackHat ב-1 באוגוסט 2013.
מה לעשות אם אתה עדיין מודאג
אם אינך גר בארצות הברית, או אינך יודע מה הסטטוס של הספק שלך, ההימור הטוב ביותר שלך הוא להתקשר לספק הסלולרי שלך ולשאול.
"לבקש מידע נוסף מספק השירות היא האפשרות הטובה ביותר כרגע", אמר רואל שוונברג, חוקר אבטחה בכיר ב- מעבדת קספרסקי. "אני מקווה שהם יעברו מהר ויספקו מידע נוסף באתרים שלהם בקרוב."
"החדשות האלה צריכות לשמש קריאת השכמה לכל ספקי שירות שעדיין משתמשים בטכנולוגיה מיושנת", מוסיף שוונברג, "כמו גם להדגיש את החשיבות של דחיפת פיתוחי אבטחה חדשים כאשר אפשרי."
Schouwenberg מציין שאין פתרון מהיר לניצול כרטיס ה-SIM הזה אם יש לך אותו. לטלפונים המושפעים מפגיעות כרטיס ה-SIM (כמו טלפונים ישנים יותר) אין גישה לשום צורה של תוכנת אבטחה שיכולה לסייע במניעת התקפות. אבל אם אתה בארצות הברית, סביר להניח שאתה בטוח. אם אתה לא, יש לך כמה חודשים לעבור לספק מעודכן יותר.
עודכן ב-25-7-2013 על ידי Jeffrey Van Camp: אנו יכולים לאשר כי Metro PCS משתמשת גם ב-Triple DES, כך שמשתמשים בשירות זה, שנמצא כעת בבעלות T-Mobile, בטוחים מהפגיעות הזו.
המאמר פורסם במקור ב-24-7-2013.
המלצות עורכים
- התכונה המעצבנת ביותר של האייפון 14 עשויה להיות גרועה יותר באייפון 15
- האם לאייפון 14 יש כרטיס סים?
