Tidligere denne uken har Karsten Nohl, sikkerhetsforsker ved SR Labs, avslørte hans oppdagelse av et massivt hull i SIM-kortkryptering som kan gjøre så mange som 750 millioner av de 7 milliarder SIM-kortenheter i verden sårbare for angrep. Ikke bare dine gjennomsnittlige hackere – hvis telefonens SIM-kort er kompromittert, er det telefonekvivalenten med identitetstyveri. En inntrenger kan gjøre mye skade.
Et SIM-kort – eller Subscriber Identity Module – forteller din trådløse operatør hvem du er og at du kan stole på. Hackere som utnytter SIM-kortet ditt kan få tilgang til den trådløse operatørkontoen din, noen tekstmeldinger og kontakter og nettverksidentifikasjonsinformasjonen din. Ved å bruke denne informasjonen kan de endre operatørkontoen din, omdirigere telefonsamtalene dine, klone telefonnummeret ditt til en annen telefon, stjele betalingsinformasjonen din (inkludert noen NFC-betalingsapper), endre taleposten din, sende ut tekstmeldinger som deg, og få din nøyaktige posisjon ved å pinge operatøren din, blant annet. Listen over sjofele handlinger som er mulig med SIM-tilgang er høy, og å bryte seg inn på telefonen din er nesten like enkelt som å sende en tekstmelding.
Anbefalte videoer
AT&T-, Sprint-, T-Mobile- og Verizon-brukere er trygge
Heldigvis trenger du kanskje ikke å bekymre deg. Til tross for mange vage og skumle rapporter sirkulerer, hvis du bor i USA, er SIM-kortet ditt (det lille kortet som vanligvis sitter under telefonens batteri) sannsynligvis ikke i fare for å bli hacket.
Representanter fra alle de fire store trådløse operatørene i USA – AT&T, Sprint, T-Mobile og Verizon – har bekreftet med Digital Trends at de ikke bruker den eldre, 56-biters DES (Datakrypteringsstandard) SIM-er som er sårbare for Nohls utnyttelse. Denne aldringsstandarden fra 1977 brukes fortsatt i noen områder rundt om i verden, og er langt mindre sikker enn nyere 1998-standarder som AES (Advanced Encryption Standard) og Trippel DES. Dette betyr at de aller fleste abonnenter i USA er trygge. De fleste mindre operatører som Virgin, Boost, Ting og andre går tilbake fra de store operatørnettverkene, noe som gjør dem også trygge for denne utnyttelsen.
Hvis du tilfeldigvis eier en telefon som er på grensen til syv år gammel, kjøp en ny. Ellers er du trygg.
Sprint og Verizon, som ikke brukte SIM-kort i det hele tatt før de begynte å distribuere høyhastighets 4G LTE-nettverk, fortalte oss at "100 prosent" av SIM-kortene deres bruker nyere, sikrere krypteringsstandarder.
"Verizon SIM-kort er ikke sårbare for dette potensielle angrepet på grunn av måten de er designet og produsert på," sa en Verizon-representant. "Vi tar personvernet og sikkerheten til kundene våre veldig alvorlig, og vil fortsette å samarbeide med våre SIM-kortleverandører, bransjegrupper og andre for å forhindre og motvirke sikkerhetsproblemer."
AT&T og T-Mobile brukte den sårbare DES-standarden tidligere, men har brukt Triple DES i mange år. AT&T-representanter sa at de ikke har brukt den hackbare standarden på «nesten et tiår». T-Mobile har ikke brukt det i «minst syv år». Hvis du tilfeldigvis eier en telefon som er på grensen til syv år gammel, kjøp en ny en. Ellers er du trygg. T-Mobile-representanter bekreftet også med oss at Metro PCS-abonnenter også er trygge.
Enda en grunn til ikke å bekymre deg
Men hva bør du gjøre hvis du ikke bruker en av de store amerikanske transportørene eller en mindre leverandør som bruker et av deres nettverk? Bør du være bekymret? Nohl sier at alle bør holde seg rolige.
"For øyeblikket er det ingen grunn til å være bekymret, ettersom kriminelle sannsynligvis vil ta måneder å implementere forskningsresultatene på nytt," sier Nohl til Digital Trends. "Hvis nettverk innen de gjør det ikke har implementert nettverksforsvar eller oppgradert SIM-ene sine eksternt, kan det være på tide å be om et nytt SIM-kort." Han legger til, "Misbruk er sannsynligvis fortsatt måneder unna," og at SR Labs delte resultater "for flere måneder siden og har vært i en veldig konstruktiv dialog med bærerne noensinne siden."
Nohls team brukte tre år og testet mer enn 1000 SIM-kort for å oppdage feilen. Nohl vil snakke mer detaljert om sårbarheten på BlackHat-sikkerhetskonferansen 1. august 2013.
Hva du skal gjøre hvis du fortsatt er bekymret
Hvis du ikke bor i USA, eller ikke vet statusen til operatøren din, er det beste alternativet å ringe mobiloperatøren og spørre.
"Å spørre tjenesteleverandøren om mer informasjon er for øyeblikket det beste alternativet," sa Roel Schouwenberg, senior sikkerhetsforsker ved Kaspersky Lab. "Forhåpentligvis vil de bevege seg raskt og gi mer informasjon på nettsidene sine snart."
"Denne nyheten bør tjene som en vekker til alle tjenesteleverandører som fortsatt bruker utdatert teknologi," legger Schouwenberg til, "samt fremheve viktigheten av å presse ut nye sikkerhetsutviklinger når mulig."
Schouwenberg påpeker at det ikke er noen rask løsning for denne SIM-kortutnyttelsen hvis du har det. Telefoner som er berørt av SIM-kortsårbarheten (som eldre flip-telefoner) har ikke tilgang til noen form for sikkerhetsprogramvare som kan bidra til å forhindre angrep. Men hvis du er i USA, er du sannsynligvis trygg. Hvis du ikke er det, har du noen måneder på deg til å bytte til en mer oppdatert operatør.
Oppdatert 25.7.2013 av Jeffrey Van Camp: Vi kan bekrefte at Metro PCS også bruker Triple DES, så brukere av den tjenesten, som nå eies av T-Mobile, er trygge fra dette sikkerhetsproblemet.
Artikkelen ble opprinnelig publisert 24.7.2013.
Redaktørenes anbefalinger
- iPhone 14s mest irriterende funksjon kan være verre på iPhone 15
- Har iPhone 14 et SIM-kort?
