Eerder deze week zei Karsten Nohl, een beveiligingsonderzoeker bij SR-laboratoria, onthulde zijn ontdekking van een enorm gat in de encryptie van simkaarten, waardoor maar liefst 750 miljoen van de 7 miljard apparaten met een simkaart in de wereld kwetsbaar zouden kunnen zijn voor aanvallen. Het zijn niet alleen de doorsnee hackschandalen: als de simkaart van je telefoon wordt gecompromitteerd, is dit het telefoonequivalent van identiteitsdiefstal. Een indringer kan veel schade aanrichten.
Een SIM-kaart – of Subscriber Identity Module – vertelt uw draadloze netwerkaanbieder wie u bent en dat u te vertrouwen bent. Hackers die uw simkaart misbruiken, kunnen toegang krijgen tot uw draadloze provideraccount, sommige sms-berichten en contacten en uw netwerkidentificatiegegevens. Met behulp van deze informatie kunnen ze uw provideraccount wijzigen, uw telefoongesprekken omleiden, uw telefoonnummer naar een andere telefoon klonen, uw betalingsgegevens stelen (inclusief sommige NFC-betaalapps), wijzig onder andere uw voicemail, verstuur sms-berichten en verkrijg uw exacte locatie door uw provider te pingen. De lijst met gemene handelingen die mogelijk zijn met SIM-toegang is hoog, en inbreken in je telefoon is bijna net zo eenvoudig als het verzenden van een sms-bericht.
Aanbevolen video's
AT&T-, Sprint-, T-Mobile- en Verizon-gebruikers zijn veilig
Gelukkig hoeft u zich misschien geen zorgen te maken. Ondanks de vele vage en angstaanjagende berichten Als u in de Verenigde Staten woont, loopt uw simkaart (dat kleine kaartje dat gewoonlijk onder de batterij van uw telefoon zit) waarschijnlijk geen risico om te worden gehackt.
Vertegenwoordigers van alle vier de grote draadloze providers in de Verenigde Staten – AT&T, Sprint, T-Mobile en Verizon – hebben tegenover Digital Trends bevestigd dat ze de oudere, 56-bit DES (Standaard voor gegevenscodering) Simkaarten die kwetsbaar zijn voor de exploit van Nohl. Deze verouderingsstandaard uit 1977 wordt in sommige delen van de wereld nog steeds gebruikt en is veel minder veilig dan nieuwere standaarden uit 1998, zoals AES (Geavanceerde coderingsstandaard) En Drievoudige DES. Dit betekent dat de overgrote meerderheid van de abonnees in de Verenigde Staten veilig is. De meeste kleinere providers zoals Virgin, Boost, Ting en anderen trekken zich terug van de grote carriernetwerken, waardoor ze ook beschermd zijn tegen deze exploit.
Als je toevallig een telefoon bezit die bijna zeven jaar oud is, koop dan een nieuwe. Anders ben je veilig.
Sprint en Verizon, die helemaal geen simkaarten gebruikten totdat ze begonnen met het inzetten van snelle 4G LTE-netwerken, vertelden ons dat “100 procent” van hun simkaarten nieuwere, veiligere encryptiestandaarden gebruikt.
“Verizon-simkaarten zijn niet kwetsbaar voor deze potentiële aanval vanwege de manier waarop ze zijn ontworpen en vervaardigd”, aldus een vertegenwoordiger van Verizon. “We nemen de privacy en veiligheid van onze klanten zeer serieus en zullen blijven samenwerken met onze SIM-kaartleveranciers, branchegroepen en anderen om eventuele beveiligingsproblemen te voorkomen en te dwarsbomen.”
AT&T en T-Mobile gebruikten in het verleden wel de kwetsbare DES-standaard, maar gebruiken al jaren Triple DES. Vertegenwoordigers van AT&T zeiden dat het de hackbare standaard al “bijna tien jaar” niet meer heeft gebruikt. T-Mobile heeft er geen gebruik van gemaakt het voor “minstens zeven jaar.” Als je toevallig een telefoon hebt die bijna zeven jaar oud is, koop dan een nieuwe een. Anders ben je veilig. Vertegenwoordigers van T-Mobile hebben ons ook bevestigd dat Metro PCS-abonnees ook veilig zijn.
Nog een reden om je geen zorgen te maken
Maar wat moet u doen als u geen gebruik maakt van een van de grote Amerikaanse luchtvaartmaatschappijen of een kleinere aanbieder die gebruik maakt van een van hun netwerken? Moet u zich zorgen maken? Nohl zegt dat iedereen kalm moet blijven.
“Op dit moment is er geen reden tot bezorgdheid, aangezien criminelen er waarschijnlijk maanden over zullen doen om de onderzoeksresultaten opnieuw te implementeren”, vertelt Nohl aan Digital Trends. “Als netwerken tegen de tijd dat ze dat doen, geen netwerkverdediging hebben geïmplementeerd of hun simkaarten op afstand hebben geüpgraded, is het misschien tijd om om een nieuwe simkaart te vragen.” Hij voegt toe, “Misbruik zal waarschijnlijk nog maanden duren”, en dat SR Labs de resultaten “enkele maanden geleden heeft gedeeld en een zeer constructieve dialoog heeft gevoerd met de bedrijven die ooit sinds."
Het team van Nohl heeft drie jaar lang meer dan 1.000 simkaarten getest om de bug te ontdekken. Nohl zal het doen meer in detail spreken over de kwetsbaarheid op de BlackHat-beveiligingsconferentie op 1 augustus 2013.
Wat u moet doen als u zich nog steeds zorgen maakt
Als u niet in de Verenigde Staten woont of de status van uw provider niet kent, kunt u het beste uw mobiele provider bellen en ernaar vragen.
“De dienstverlener om meer informatie vragen is op dit moment de beste optie”, zegt Roel Schouwenberg, senior security-onderzoeker bij Kaspersky Lab. “Hopelijk zullen ze snel actie ondernemen en binnenkort meer informatie op hun websites publiceren.”
“Dit nieuws zou een wake-up call moeten zijn voor alle dienstverleners die nog steeds verouderde technologie gebruiken,” voegt Schouwenberg toe, “en benadrukt ook het belang van het naar voren brengen van nieuwe veiligheidsontwikkelingen wanneer mogelijk."
Schouwenberg wijst erop dat er geen snelle oplossing bestaat voor deze SIM-kaartexploit als je die hebt. Telefoons die getroffen zijn door de kwetsbaarheid van de SIM-kaart (zoals oudere klaptelefoons) hebben geen toegang tot enige vorm van beveiligingssoftware die aanvallen kan helpen voorkomen. Maar als u in de Verenigde Staten bent, bent u waarschijnlijk veilig. Als dat niet het geval is, heeft u een paar maanden de tijd om over te stappen naar een modernere provider.
Bijgewerkt op 25-7-2013 door Jeffrey Van Camp: We kunnen bevestigen dat Metro PCS ook Triple DES gebruikt, dus gebruikers van die dienst, die nu eigendom is van T-Mobile, zijn veilig voor dit beveiligingslek.
Artikel oorspronkelijk gepubliceerd op 24-7-2013.
Aanbevelingen van de redactie
- De meest vervelende functie van de iPhone 14 is misschien wel erger op de iPhone 15
- Heeft de iPhone 14 een simkaart?
