Začiatkom tohto týždňa Karsten Nohl, bezpečnostný výskumník v SR Labsodhalil svoj objav masívnej diery v šifrovaní SIM kariet, ktorá by mohla spôsobiť, že až 750 miliónov zo 7 miliárd zariadení so SIM kartou na svete je zraniteľných voči útoku. Nie sú to len vaše priemerné hackerské podvody – ak je ohrozená SIM karta vášho telefónu, ide o ekvivalent krádeže identity v telefóne. Votrelec môže narobiť veľa škody.
Karta SIM – alebo modul identity predplatiteľa – informuje vášho bezdrôtového operátora, kto ste a že sa na vás dá spoľahnúť. Hackeri, ktorí zneužijú vašu SIM kartu, môžu získať prístup k vášmu účtu bezdrôtového operátora, niektorým textom a kontaktom a identifikačným informáciám vašej siete. Pomocou týchto informácií by mohli upraviť váš účet operátora, presmerovať vaše telefónne hovory, naklonovať vaše telefónne číslo do iného telefónu, ukradnúť vaše platobné poverenia (vrátane niektorých platobných aplikácií NFC), zmeňte svoju hlasovú schránku, odosielajte textové správy podľa seba a zistite svoju presnú polohu okrem iného pomocou príkazu ping na svojho operátora. Zoznam ohavných činov, ktoré sú možné s prístupom na SIM kartu, je vysoký a prelomenie vášho telefónu je takmer také jednoduché ako odoslanie textovej správy.
Odporúčané videá
Používatelia AT&T, Sprint, T-Mobile a Verizon sú v bezpečí
Našťastie sa nemusíte báť. Napriek mnohým nejasné a desivé správy Ak žijete v Spojených štátoch, vašej SIM karte (tá malá karta, ktorá sa zvyčajne nachádza pod batériou vášho telefónu) pravdepodobne nehrozí napadnutie.
Zástupcovia všetkých štyroch hlavných bezdrôtových operátorov v Spojených štátoch – AT&T, Sprint, T-Mobile a Verizon – potvrdili pre Digital Trends, že nepoužívajú starší 56-bitový DES (Štandard šifrovania údajov) SIM karty, ktoré sú zraniteľné voči Nohlovmu zneužitiu. Tento štandard starnutia z roku 1977 sa stále používa v niektorých oblastiach po celom svete a je oveľa menej bezpečný ako novšie štandardy z roku 1998, ako je AES (Pokročilý štandard šifrovania) a Trojitý DES. To znamená, že drvivá väčšina predplatiteľov v Spojených štátoch je v bezpečí. Väčšina menších dopravcov, ako sú Virgin, Boost, Ting a iní, ustupujú od hlavných sietí operátorov, čím sú chránení aj pred týmto zneužitím.
Ak náhodou vlastníte telefón, ktorý má takmer sedem rokov, kúpte si nový. V opačnom prípade ste v bezpečí.
Sprint a Verizon, ktoré vôbec nepoužívali SIM karty, kým nezačali nasadzovať vysokorýchlostné siete 4G LTE, nám povedali, že „100 percent“ ich SIM kariet používa novšie a bezpečnejšie štandardy šifrovania.
„SIM karty Verizon nie sú zraniteľné voči tomuto potenciálnemu útoku kvôli spôsobu, akým sú navrhnuté a vyrobené,“ povedal zástupca Verizonu. „Súkromie a bezpečnosť našich zákazníkov berieme veľmi vážne a budeme pokračovať v spolupráci s našimi predajcami SIM kariet, priemyselnými skupinami a ďalšími, aby sme zabránili a potlačili akékoľvek obavy o bezpečnosť.“
AT&T a T-Mobile v minulosti používali zraniteľný štandard DES, ale už mnoho rokov používali Triple DES. Zástupcovia AT&T uviedli, že hackovateľný štandard nepoužívala „takmer desať rokov“. T-Mobile nepoužil na „najmenej sedem rokov“. Ak náhodou vlastníte telefón, ktorý má takmer sedem rokov, kúpte si nový jeden. V opačnom prípade ste v bezpečí. Že sú v bezpečí aj predplatitelia Metro PCS, nám potvrdili aj zástupcovia T-Mobile.
Ďalší dôvod nerobiť si starosti
Čo by ste však mali robiť, ak nepoužívate jedného z veľkých amerických operátorov alebo a menší poskytovateľ ktorý používa jednu z ich sietí? Mali by ste sa obávať? Nohl hovorí, že každý by mal zostať pokojný.
"V tejto chvíli nie je dôvod na obavy, pretože zločincom bude pravdepodobne trvať mesiace, kým znovu implementujú výsledky výskumu," hovorí Nohl pre Digital Trends. "Ak v čase, keď to urobia, siete neimplementovali sieťovú obranu alebo neaktualizovali svoje SIM karty na diaľku, možno je čas požiadať o novú SIM." dodáva, „Zneužívanie je pravdepodobne ešte mesiace vzdialené,“ a laboratóriá SR sa podelili o výsledky „pred niekoľkými mesiacmi a boli vo veľmi konštruktívnom dialógu s nosičmi. odvtedy.”
Nohlov tím strávil tri roky a testoval viac ako 1 000 SIM kariet, aby odhalil chybu. Nohl bude hovoriť podrobnejšie o zraniteľnosti na bezpečnostnej konferencii BlackHat 1. augusta 2013.
Čo robiť, ak máte stále obavy
Ak nežijete v Spojených štátoch alebo nepoznáte status svojho operátora, najlepšie urobíte, ak zavoláte mobilnému operátorovi a spýtate sa ho.
„Požiadať poskytovateľa služieb o ďalšie informácie je v súčasnosti najlepšou možnosťou,“ povedal Roel Schouwenberg, hlavný bezpečnostný výskumník v spoločnosti Kaspersky Lab. "Dúfam, že sa budú rýchlo pohybovať a čoskoro poskytnú viac informácií na svojich webových stránkach."
„Táto správa by mala slúžiť ako budík pre všetkých poskytovateľov služieb, ktorí stále používajú zastaranú technológiu,“ dodáva Schouwenberg, „ako aj zdôrazniť dôležitosť presadzovania nového bezpečnostného vývoja možné.”
Schouwenberg poukazuje na to, že neexistuje žiadna rýchla oprava tohto zneužitia SIM karty, ak ju máte. Telefóny ovplyvnené zraniteľnosťou karty SIM (ako staršie vyklápacie telefóny) nemajú prístup k žiadnej forme bezpečnostného softvéru, ktorý by mohol pomôcť zabrániť útokom. Ale ak ste v Spojených štátoch, pravdepodobne ste v bezpečí. Ak nie, máte niekoľko mesiacov na to, aby ste prešli na aktuálnejšieho operátora.
Aktualizované 25. 7. 2013 Jeffrey Van Campom: Môžeme potvrdiť, že Metro PCS používa aj Triple DES, takže používatelia tejto služby, ktorú teraz vlastní T-Mobile, sú pred touto zraniteľnosťou v bezpečí.
Článok pôvodne uverejnený 24.7.2013.
Odporúčania redaktorov
- Najnepríjemnejšia funkcia iPhone 14 môže byť horšia na iPhone 15
- Má iPhone 14 SIM kartu?
