No início desta semana, Karsten Nohl, pesquisador de segurança da Laboratórios SR, revelou a descoberta de uma enorme falha na criptografia do cartão SIM que poderia deixar até 750 milhões dos 7 bilhões de dispositivos com cartão SIM no mundo vulneráveis a ataques. Não apenas suas travessuras comuns de hackers – se o cartão SIM do seu telefone estiver comprometido, é o equivalente ao roubo de identidade. Um intruso pode causar muitos danos.
Um cartão SIM – ou Módulo de Identidade do Assinante – informa à sua operadora sem fio quem você é e que você é confiável. Os hackers que exploram o seu SIM podem acessar a conta da sua operadora sem fio, algumas mensagens de texto e contatos e as informações de identificação da sua rede. Usando essas informações, eles podem modificar sua conta de operadora, redirecionar suas ligações, clonar seu número de telefone para outro telefone, roubar suas credenciais de pagamento (incluindo alguns aplicativos de pagamento NFC), altere seu correio de voz, envie mensagens de texto como você e obtenha sua localização exata enviando ping para sua operadora, entre outras coisas. A lista de atos vis possíveis com o acesso ao SIM é alta, e invadir seu telefone é quase tão fácil quanto enviar uma mensagem de texto.
Vídeos recomendados
Os usuários da AT&T, Sprint, T-Mobile e Verizon estão seguros
Felizmente, você pode não precisar se preocupar. Apesar dos muitos relatos vagos e assustadores circulando, se você mora nos Estados Unidos, seu cartão SIM (aquele pequeno cartão que geralmente fica embaixo da bateria do seu telefone) provavelmente não corre risco de ser hackeado.
Representantes de todas as quatro principais operadoras sem fio dos Estados Unidos – AT&T, Sprint, T-Mobile e Verizon – confirmaram com a Digital Trends que não usam o DES mais antigo de 56 bits (Padrão de criptografia de dados) SIMs vulneráveis à exploração de Nohl. Este padrão antigo de 1977 ainda é usado em algumas áreas ao redor do mundo e é muito menos seguro do que os padrões mais recentes de 1998, como o AES (Padrão de criptografia avançado) e DES triplo. Isso significa que a grande maioria dos assinantes nos Estados Unidos está segura. A maioria das operadoras menores, como Virgin, Boost, Ting e outras, aproveitam as redes das principais operadoras, tornando-as também protegidas dessa exploração.
Se acontecer de você possuir um telefone com quase sete anos, compre um novo. Caso contrário, você está seguro.
Sprint e Verizon, que não usavam cartões SIM até começarem a implantar redes 4G LTE de alta velocidade, nos disseram que “100%” de seus cartões SIM usam padrões de criptografia mais novos e mais seguros.
“Os cartões SIM da Verizon não são vulneráveis a este ataque potencial devido à forma como são projetados e fabricados”, disse um representante da Verizon. “Levamos muito a sério a privacidade e a segurança de nossos clientes e continuaremos a trabalhar com nossos fornecedores de cartões SIM, grupos industriais e outros para prevenir e frustrar quaisquer preocupações de segurança.”
AT&T e T-Mobile usaram o padrão DES vulnerável no passado, mas usaram Triple DES por muitos anos. Representantes da AT&T disseram que ela não usa o padrão hackeável há “quase uma década”. T-Mobile não usou isso por “pelo menos sete anos”. Se acontecer de você possuir um telefone com quase sete anos, compre um novo um. Caso contrário, você está seguro. Os representantes da T-Mobile também confirmaram conosco que os assinantes do Metro PCS também estão seguros.
Outra razão para não se preocupar
Mas o que você deve fazer se não estiver usando uma das grandes operadoras dos EUA ou um provedor menor que usa uma de suas redes? Você deveria estar preocupado? Nohl diz que todos deveriam ficar calmos.
“No momento, não há motivo para preocupação, já que os criminosos provavelmente levarão meses para reimplementar os resultados da pesquisa”, disse Nohl ao Digital Trends. “Se, no momento em que o fizerem, as redes não tiverem implementado defesas de rede ou atualizado seus SIMs remotamente, talvez seja hora de solicitar um novo SIM.” Ele adiciona, “O abuso provavelmente ainda está a meses de distância”, e que o SR Labs compartilhou os resultados “há vários meses e tem mantido um diálogo muito construtivo com os transportadores de todos os tempos”. desde."
A equipe de Nohl passou três anos testando mais de 1.000 cartões SIM para descobrir o bug. Nohl vai fale com mais detalhes sobre a vulnerabilidade na conferência de segurança BlackHat em 1º de agosto de 2013.
O que fazer se você ainda estiver preocupado
Se você não mora nos Estados Unidos ou não sabe o status da sua operadora, sua melhor aposta é ligar para sua operadora de celular e perguntar.
“Solicitar mais informações ao provedor de serviços é atualmente a melhor opção”, disse Roel Schouwenberg, pesquisador sênior de segurança da Laboratório Kaspersky. “Esperamos que eles ajam rapidamente e forneçam mais informações em seus sites em breve.”
“Esta notícia deve servir como um alerta para quaisquer provedores de serviços que ainda usam tecnologia desatualizada”, acrescenta Schouwenberg, “além de destacar a importância de promover novos desenvolvimentos de segurança quando possível."
Schouwenberg ressalta que não há solução rápida para essa exploração do cartão SIM, se você o tiver. Os telefones afetados pela vulnerabilidade do cartão SIM (como os telefones flip mais antigos) não têm acesso a nenhum tipo de software de segurança que possa ajudar a prevenir ataques. Mas se você estiver nos Estados Unidos, provavelmente estará seguro. Caso contrário, você terá alguns meses para mudar para uma operadora mais atualizada.
Atualizado em 25/07/2013 por Jeffrey Van Camp: Podemos confirmar que o Metro PCS também utiliza Triple DES, portanto os usuários desse serviço, que agora é propriedade da T-Mobile, estão protegidos contra esta vulnerabilidade.
Artigo publicado originalmente em 24/07/2013.
Recomendações dos Editores
- O recurso mais irritante do iPhone 14 pode ser pior no iPhone 15
- O iPhone 14 tem cartão SIM?
