Отчет: Массовый взлом SIM-карты не затронул большинство владельцев телефонов в США

Сим-карты

Ранее на этой неделе Карстен Нол, исследователь безопасности в СР Лабс, сообщил о своем открытии огромной дыры в шифровании SIM-карт, которая может сделать до 750 миллионов из 7 миллиардов устройств с SIM-картами в мире уязвимыми для атак. Это не просто обычные хакерские махинации — если SIM-карта вашего телефона взломана, это телефонный эквивалент кражи личных данных. Злоумышленник может нанести большой ущерб.

SIM-карта – или модуль идентификации абонента – сообщает вашему оператору беспроводной связи, кто вы и что вам можно доверять. Хакеры, воспользовавшиеся вашей SIM-картой, могут получить доступ к вашей учетной записи оператора беспроводной связи, некоторым текстовым сообщениям и контактам, а также идентификационной информации вашей сети. Используя эту информацию, они могут изменить вашу учетную запись оператора связи, перенаправить ваши телефонные звонки, клонировать ваш номер телефона на другой телефон, украсть ваши платежные данные. (включая некоторые платежные приложения NFC), меняйте свою голосовую почту, отправляйте текстовые сообщения от себя и узнавайте свое точное местоположение, проверив связь с оператором связи, среди прочего. Список подлых действий, возможных при доступе к SIM-карте, велик, и взломать ваш телефон почти так же просто, как отправить текстовое сообщение.

Рекомендуемые видео

Пользователи AT&T, Sprint, T-Mobile и Verizon в безопасности

К счастью, вам не о чем беспокоиться. Несмотря на множество расплывчатые и пугающие отчеты По слухам, если вы живете в Соединенных Штатах, ваша SIM-карта (та маленькая карта, которая обычно находится под аккумулятором вашего телефона), вероятно, не подвергается риску взлома.

Представители всех четырех основных операторов беспроводной связи в США — AT&T, Sprint, T-Mobile и Verizon — подтвердили Digital Trends, что они не используют старый 56-битный DES (Стандарт шифрования данных) SIM-карты, уязвимые для эксплойта Нола. Этот устаревший стандарт 1977 года до сих пор используется в некоторых регионах мира и гораздо менее безопасен, чем более новые стандарты 1998 года, такие как AES (Расширенный стандарт шифрования) и Тройной DES. Это означает, что подавляющее большинство абонентов в США находятся в безопасности. Большинство более мелких операторов связи, таких как Virgin, Boost, Ting и другие, отключаются от сетей крупных операторов связи, что также защищает их от этой уязвимости.

Если у вас есть телефон, которому около семи лет, купите новый. В противном случае вы в безопасности.

Sprint и Verizon, которые вообще не использовали SIM-карты, пока не начали развертывать высокоскоростные сети 4G LTE, сообщили нам, что «100 процентов» их SIM-карт используют новые и более безопасные стандарты шифрования.

«SIM-карты Verizon не уязвимы для этой потенциальной атаки из-за особенностей их конструкции и производства», — сказал представитель Verizon. «Мы очень серьезно относимся к конфиденциальности и безопасности наших клиентов и продолжим работать с поставщиками наших SIM-карт, отраслевыми группами и другими, чтобы предотвратить и устранить любые проблемы безопасности».

AT&T и T-Mobile использовали уязвимый стандарт DES в прошлом, но уже много лет используют Triple DES. Представители AT&T заявили, что компания не использовала стандарт взлома уже «почти десять лет». T-Mobile не пользовался это «по крайней мере семь лет». Если у вас есть телефон, которому около семи лет, купите новый. один. В противном случае вы в безопасности. Представители T-Mobile также подтвердили нам, что абоненты Metro PCS также находятся в безопасности.

Еще одна причина не волноваться

Но что делать, если вы не пользуетесь услугами одного из крупных операторов связи США или меньший поставщик который использует одну из своих сетей? Стоит ли вам беспокоиться? Нол говорит, что всем следует сохранять спокойствие.

«На данный момент нет причин для беспокойства, поскольку преступникам, скорее всего, потребуются месяцы, чтобы повторно использовать результаты исследования», — говорит Нол в интервью Digital Trends. «Если к тому времени сети не внедрят сетевую защиту и не обновят свои SIM-карты удаленно, возможно, пришло время попросить новую SIM-карту». Он добавляет, «До злоупотреблений, вероятно, еще несколько месяцев», и что SR Labs поделилась результатами «несколько месяцев назад и всегда вел очень конструктивный диалог с керри». с."

Команда Нола потратила три года и протестировала более 1000 SIM-карт, чтобы обнаружить ошибку. Нол будет говори подробнее об уязвимости на конференции по безопасности BlackHat 1 августа 2013 года.

Что делать, если вы все еще беспокоитесь

Если вы не живете в Соединенных Штатах или не знаете статус своего оператора связи, лучше всего позвонить своему оператору мобильной связи и спросить.

«В настоящее время лучшим вариантом является обращение к поставщику услуг за дополнительной информацией», — сказал Роэль Шувенберг, старший исследователь безопасности в компании Лаборатория Касперского. «Надеюсь, они будут действовать быстро и в ближайшее время предоставят дополнительную информацию на своих веб-сайтах».

«Эта новость должна послужить тревожным сигналом для всех поставщиков услуг, которые все еще используют устаревшие технологии», — добавляет Шувенберг, — «а также подчеркнуть важность продвижения новых разработок в области безопасности, когда возможный."

Шувенберг отмечает, что быстрого решения этой проблемы с SIM-картой не существует, если она у вас есть. Телефоны, подверженные уязвимости SIM-карты (например, старые раскладушки), не имеют доступа к какому-либо защитному программному обеспечению, которое могло бы помочь предотвратить атаки. Но если вы находитесь в Соединенных Штатах, вы, вероятно, в безопасности. Если нет, у вас есть несколько месяцев, чтобы переключиться на более современного оператора связи.

Обновлено Джеффри Ван Кэмпом от 25 июля 2013 г.: Мы можем подтвердить, что Metro PCS также использует Triple DES, поэтому пользователи этого сервиса, который сейчас принадлежит T-Mobile, застрахованы от этой уязвимости.

Статья первоначально опубликована 24 июля 2013 г.

Рекомендации редакции

  • Самая раздражающая особенность iPhone 14 может быть хуже на iPhone 15
  • Есть ли в iPhone 14 SIM-карта?