Na początku tego tygodnia Karsten Nohl, badacz bezpieczeństwa w firmie Laboratoria SRujawnił, że odkrył ogromną lukę w szyfrowaniu kart SIM, która może narazić na atak aż 750 milionów z 7 miliardów urządzeń z kartami SIM na świecie. To nie tylko zwykłe wybryki hakerskie – jeśli karta SIM Twojego telefonu zostanie naruszona, jest to telefoniczny odpowiednik kradzieży tożsamości. Intruz może wyrządzić wiele szkód.
Karta SIM – czyli moduł identyfikacji abonenta – informuje operatora sieci bezprzewodowej, kim jesteś i że można Ci zaufać. Hakerzy wykorzystujący Twoją kartę SIM mogą uzyskać dostęp do Twojego konta operatora komórkowego, niektórych SMS-ów i kontaktów oraz informacji identyfikacyjnych Twojej sieci. Korzystając z tych informacji, mogą zmodyfikować Twoje konto operatora, przekierować Twoje połączenia telefoniczne, sklonować Twój numer telefonu do innego telefonu, ukraść Twoje dane uwierzytelniające płatności (w tym niektóre aplikacje do płatności NFC), zmień pocztę głosową, wysyłaj SMS-y i uzyskuj dokładną lokalizację, między innymi wysyłając polecenie ping do swojego operatora. Lista niegodziwych czynów możliwych dzięki dostępowi do karty SIM jest długa, a włamanie się do telefonu jest prawie tak proste, jak wysłanie wiadomości tekstowej.
Polecane filmy
Użytkownicy AT&T, Sprint, T-Mobile i Verizon są bezpieczni
Na szczęście być może nie będziesz musiał się martwić. Pomimo wielu niejasne i przerażające raporty jest w obiegu, jeśli mieszkasz w Stanach Zjednoczonych, Twoja karta SIM (ta mała karta, która zwykle znajduje się pod baterią telefonu) prawdopodobnie nie jest narażona na ryzyko włamania.
Przedstawiciele wszystkich czterech głównych operatorów bezprzewodowych w Stanach Zjednoczonych – AT&T, Sprint, T-Mobile i Verizon – potwierdzili w Digital Trends, że nie używają starszego, 56-bitowego DES (Standard szyfrowania danych) Karty SIM podatne na exploit Nohl. Ten starzejący się standard z 1977 r. jest nadal używany w niektórych obszarach na całym świecie i jest znacznie mniej bezpieczny niż nowsze standardy z 1998 r., takie jak AES (Zaawansowany Standard Szyfrowania) I Potrójne DES. Oznacza to, że zdecydowana większość abonentów w Stanach Zjednoczonych jest bezpieczna. Większość mniejszych operatorów, takich jak Virgin, Boost, Ting i inni, wycofuje się z sieci głównych operatorów, chroniąc ich również przed tym exploitem.
Jeśli masz telefon, który ma około siedmiu lat, kup nowy. W przeciwnym razie jesteś bezpieczny.
Sprint i Verizon, które w ogóle nie korzystały z kart SIM, dopóki nie zaczęły wdrażać szybkich sieci 4G LTE, powiedziały nam, że „100 procent” ich kart SIM wykorzystuje nowsze, bezpieczniejsze standardy szyfrowania.
„Karty SIM Verizon nie są podatne na ten potencjalny atak ze względu na sposób, w jaki są projektowane i produkowane” – powiedział przedstawiciel Verizon. „Bardzo poważnie podchodzimy do prywatności i bezpieczeństwa naszych klientów i będziemy nadal współpracować z dostawcami naszych kart SIM, grupami branżowymi i innymi osobami, aby zapobiegać wszelkim problemom związanym z bezpieczeństwem i je udaremniać”.
AT&T i T-Mobile korzystały w przeszłości z podatnego na ataki standardu DES, ale od wielu lat korzystają z Triple DES. Przedstawiciele AT&T oświadczyli, że nie używali standardu umożliwiającego hakowanie przez „prawie dekadę”. T-Mobile nie korzystał to przez „co najmniej siedem lat”. Jeśli masz telefon, który ma około siedmiu lat, kup nowy jeden. W przeciwnym razie jesteś bezpieczny. Przedstawiciele T-Mobile również potwierdzili u nas, że abonenci Metro PCS również są bezpieczni.
Kolejny powód, żeby się nie martwić
Ale co powinieneś zrobić, jeśli nie korzystasz z usług jednego z dużych amerykańskich przewoźników lub np mniejszy dostawca korzystający z jednej z ich sieci? Czy powinieneś się martwić? Nohl mówi, że wszyscy powinni zachować spokój.
„W tej chwili nie ma powodów do niepokoju, ponieważ ponowne wdrożenie wyników badań przestępcom prawdopodobnie zajmie miesiące” – mówi Nohl w rozmowie z Digital Trends. „Jeśli do tego czasu sieci nie wdrożą zabezpieczeń sieci lub zdalnie nie zmodernizują swoich kart SIM, być może nadszedł czas, aby poprosić o nową kartę SIM”. Dodaje, „Do nadużycia prawdopodobnie potrzeba jeszcze kilku miesięcy” oraz że SR Labs udostępniło wyniki „kilka miesięcy temu i prowadziło bardzo konstruktywny dialog z przewoźnikami od zawsze” od."
Zespół Nohla spędził trzy lata i przetestował ponad 1000 kart SIM, aby wykryć błąd. Nohl to zrobi mówić bardziej szczegółowo na temat luki podczas konferencji poświęconej bezpieczeństwu BlackHat, która odbyła się 1 sierpnia 2013 r.
Co zrobić, jeśli nadal się martwisz
Jeśli nie mieszkasz w Stanach Zjednoczonych lub nie znasz statusu swojego operatora, najlepiej będzie zadzwonić do niego i zapytać.
„Poproszenie usługodawcy o więcej informacji jest obecnie najlepszą opcją” – powiedział Roel Schouwenberg, starszy badacz ds. bezpieczeństwa w firmie Kaspersky Lab. „Mam nadzieję, że szybko to zrobią i wkrótce udostępnią więcej informacji na swoich stronach internetowych”.
„Ta wiadomość powinna pobudzić wszystkich dostawców usług, którzy nadal korzystają z przestarzałej technologii” – dodał. dodaje Schouwenberg, „a także podkreślić znaczenie promowania nowych rozwiązań w zakresie bezpieczeństwa, kiedy możliwy."
Schouwenberg zwraca uwagę, że nie ma szybkiego rozwiązania tego exploita karty SIM, jeśli go posiadasz. Telefony dotknięte luką w karcie SIM (takie jak starsze telefony z klapką) nie mają dostępu do żadnego oprogramowania zabezpieczającego, które mogłoby pomóc w zapobieganiu atakom. Ale jeśli jesteś w Stanach Zjednoczonych, prawdopodobnie jesteś bezpieczny. Jeśli nie, masz kilka miesięcy na zmianę operatora na nowszego.
Zaktualizowano 25.07.2013 przez Jeffreya Van Campa: Możemy potwierdzić, że Metro PCS również korzysta z Triple DES, więc użytkownicy tej usługi, której właścicielem jest obecnie T-Mobile, są bezpieczni przed tą luką.
Artykuł pierwotnie opublikowany 24.07.2013.
Zalecenia redaktorów
- Najbardziej irytująca funkcja iPhone'a 14 może działać gorzej na iPhonie 15
- Czy iPhone 14 ma kartę SIM?
