Šīs nedēļas sākumā Karstens Nols, drošības pētnieks plkst SR Labs, atklāja savu atklājumu par milzīgu robu SIM karšu šifrēšanā, kas var atstāt 750 miljonus no 7 miljardiem SIM karšu ierīču pasaulē neaizsargātas pret uzbrukumiem. Ne tikai jūsu parastās uzlaušanas viltības — ja jūsu tālruņa SIM karte ir apdraudēta, tā ir tālruņa ekvivalents identitātes zādzībai. Iebrucējs var nodarīt lielu kaitējumu.
SIM karte jeb abonenta identitātes modulis paziņo jūsu bezvadu operatoram, kas jūs esat un ka jums var uzticēties. Hakeri, kuri izmanto jūsu SIM karti, var piekļūt jūsu bezvadu operatora kontam, dažiem tekstiem un kontaktpersonām, kā arī jūsu tīkla identifikācijas informācijai. Izmantojot šo informāciju, viņi var mainīt jūsu mobilo sakaru operatora kontu, pāradresēt jūsu tālruņa zvanus, klonēt jūsu tālruņa numuru uz citu tālruni, nozagt jūsu maksājumu akreditācijas datus. (tostarp dažas NFC maksājumu lietotnes), mainiet savu balss pastu, sūtiet īsziņas kā jūs un noskaidrojiet precīzu savu atrašanās vietu, cita starpā nosūtot operatora ping. Ar SIM piekļuvi iespējamo ļauno darbību saraksts ir liels, un tālruņa uzlaušana ir gandrīz tikpat vienkārša kā īsziņas nosūtīšana.
Ieteiktie videoklipi
AT&T, Sprint, T-Mobile un Verizon lietotāji ir droši
Par laimi, jums var nebūt jāuztraucas. Neskatoties uz daudzajiem neskaidri un biedējoši ziņojumi ja jūs dzīvojat Amerikas Savienotajās Valstīs, jūsu SIM karte (mazā karte, kas parasti atrodas zem tālruņa akumulatora), visticamāk, netiek uzlauzta.
Pārstāvji no visiem četriem lielākajiem bezvadu mobilo sakaru operatoriem Amerikas Savienotajās Valstīs — AT&T, Sprint, T-Mobile un Verizon — ir apstiprinājuši ar Digital Trends, ka viņi neizmanto vecāku, 56 bitu DES (Datu šifrēšanas standarts) SIM kartes, kas ir neaizsargātas pret Nola izmantošanu. Šis 1977. gada novecošanas standarts joprojām tiek izmantots dažās vietās visā pasaulē, un tas ir daudz mazāk drošs nekā jaunāki 1998. gada standarti, piemēram, AES (Uzlabots šifrēšanas standarts) un Trīskāršs DES. Tas nozīmē, ka lielākā daļa abonentu Amerikas Savienotajās Valstīs ir drošībā. Lielākā daļa mazāko mobilo sakaru operatoru, piemēram, Virgin, Boost, Ting un citi, atkāpjas no lielākajiem mobilo sakaru operatoru tīkliem, padarot tos arī drošus no šīs darbības.
Ja jums pieder tālrunis, kas ir aptuveni septiņus gadus vecs, iegādājieties jaunu. Pretējā gadījumā jūs esat drošībā.
Sprint un Verizon, kas SIM kartes neizmantoja vispār, līdz sāka izvietot ātrdarbīgus 4G LTE tīklus, mums teica, ka “100 procenti” to SIM karšu izmanto jaunākus, drošākus šifrēšanas standartus.
"Verizon SIM kartes nav neaizsargātas pret šo iespējamo uzbrukumu, jo tās ir izstrādātas un ražotas," sacīja Verizon pārstāvis. "Mēs ļoti nopietni uztveram mūsu klientu privātumu un drošību un turpināsim sadarboties ar mūsu SIM karšu pārdevējiem, nozares grupām un citiem, lai novērstu un novērstu jebkādas drošības problēmas."
AT&T un T-Mobile agrāk izmantoja neaizsargāto DES standartu, taču jau daudzus gadus ir izmantojuši Triple DES. AT&T pārstāvji teica, ka tas nav izmantojis uzlaušanas standartu "gandrīz desmit gadus". T-Mobile nav izmantojis to "vismaz septiņus gadus". Ja jums pieder tālrunis, kas ir aptuveni septiņus gadus vecs, iegādājieties jaunu viens. Pretējā gadījumā jūs esat drošībā. Arī T-Mobile pārstāvji ar mums apstiprināja, ka arī Metro PCS abonenti ir droši.
Vēl viens iemesls neuztraukties
Bet kā rīkoties, ja neizmantojat kādu no lielajiem ASV mobilo sakaru operatoriem vai a mazāks pakalpojumu sniedzējs kas izmanto kādu no viņu tīkliem? Vai jums vajadzētu uztraukties? Nols saka, ka visiem vajadzētu palikt mierīgiem.
"Pagaidām nav iemesla uztraukties, jo noziedzniekiem, visticamāk, būs vajadzīgi mēneši, lai atkārtoti ieviestu pētījumu rezultātus," Nohls stāsta Digital Trends. "Ja līdz tam laikam, kad tīkli nav ieviesuši tīkla aizsardzību vai attālināti jauninājuši SIM kartes, iespējams, ir pienācis laiks lūgt jaunu SIM karti." Viņš piebilst, "Ļaunprātīga izmantošana, visticamāk, vēl būs pēc vairākiem mēnešiem," un ka SR Labs dalījās ar rezultātiem "pirms vairākiem mēnešiem un ir bijuši ļoti konstruktīvā dialogā ar operatoriem. kopš."
Nohl komanda pavadīja trīs gadus un pārbaudīja vairāk nekā 1000 SIM karšu, lai atklātu kļūdu. Nohls būs runāt sīkāk par ievainojamību BlackHat drošības konferencē 2013. gada 1. augustā.
Ko darīt, ja joprojām uztraucaties
Ja nedzīvojat Amerikas Savienotajās Valstīs vai nezināt sava mobilo sakaru operatora statusu, vislabāk ir piezvanīt savam mobilo sakaru operatoram un pajautāt.
"Patlaban labākais risinājums ir jautāt pakalpojumu sniedzējam vairāk informācijas," sacīja Roels Šovenbergs, vecākais drošības pētnieks. Kaspersky Lab. "Cerams, ka viņi rīkosies ātri un drīzumā sniegs vairāk informācijas savās vietnēs."
"Šīm ziņām vajadzētu kalpot kā modinātāja zvanam visiem pakalpojumu sniedzējiem, kuri joprojām izmanto novecojušas tehnoloģijas," piebilst Šovenbergs, "kā arī uzsvērt, cik svarīgi ir ieviest jaunus drošības pasākumus, kad iespējams.”
Šovenbergs norāda, ka šim SIM kartes izmantošanas veidam nav ātrā risinājuma, ja jums tāda ir. Tālruņiem, kurus skārusi SIM kartes ievainojamība (piemēram, vecākiem pārslēdzamiem tālruņiem), nav piekļuves nekāda veida drošības programmatūrai, kas varētu palīdzēt novērst uzbrukumus. Bet, ja atrodaties Amerikas Savienotajās Valstīs, jūs, visticamāk, esat drošībā. Ja nē, jums ir daži mēneši, lai pārslēgtos uz jaunāku mobilo sakaru operatoru.
2013. gada 25. jūlijā atjaunināja Džefrijs Van Camp: Mēs varam apstiprināt, ka Metro PCS izmanto arī Triple DES, tāpēc šī pakalpojuma lietotāji, kas tagad pieder T-Mobile, ir pasargāti no šīs ievainojamības.
Raksts sākotnēji publicēts 24.7.2013.
Redaktoru ieteikumi
- IPhone 14 kaitinošākā funkcija varētu būt sliktāka iPhone 15
- Vai iPhone 14 ir SIM karte?
