V začetku tega tedna je Karsten Nohl, varnostni raziskovalec pri SR Labs, je razkril svoje odkritje ogromne luknje v šifriranju kartic SIM, zaradi katere bi lahko bilo kar 750 milijonov od 7 milijard naprav s karticami SIM na svetu izpostavljenih napadom. Ne samo vaše povprečne hekerske zvijače – če je kartica SIM vašega telefona ogrožena, je to enakovredno kraji identitete. Vsiljivec lahko naredi veliko škode.
Kartica SIM – ali modul za identifikacijo naročnika – pove vašemu brezžičnemu operaterju, kdo ste in da vam lahko zaupate. Hekerji, ki izkoristijo vašo kartico SIM, lahko dostopajo do vašega računa brezžičnega operaterja, nekaterih sporočil in stikov ter identifikacijskih podatkov vašega omrežja. Z uporabo teh informacij bi lahko spremenili vaš račun pri operaterju, preusmerili vaše telefonske klice, klonirali vašo telefonsko številko v drug telefon, ukradli vaše poverilnice za plačilo (vključno z nekaterimi aplikacijami za plačevanje NFC), med drugim spremenite glasovno pošto, pošiljate sporočila kot vi in pridobite svojo natančno lokacijo tako, da pingate svojemu operaterju. Seznam podlih dejanj, ki so možna z dostopom do kartice SIM, je velik in vdreti v vaš telefon je skoraj tako enostavno kot pošiljanje besedilnega sporočila.
Priporočeni videoposnetki
Uporabniki AT&T, Sprint, T-Mobile in Verizon so varni
Na srečo vam morda ni treba skrbeti. Kljub številnim nejasna in strašljiva poročila v obtoku, če živite v Združenih državah, vaša kartica SIM (tista majhna kartica, ki je običajno pod baterijo vašega telefona) verjetno ni v nevarnosti, da bi jo vdrli.
Predstavniki vseh štirih glavnih brezžičnih operaterjev v Združenih državah – AT&T, Sprint, T-Mobile in Verizon – so z Digital Trends potrdili, da ne uporabljajo starejšega, 56-bitnega DES (Standard šifriranja podatkov) SIM kartice, ki so ranljive za Nohlovo izkoriščanje. Ta standard staranja iz leta 1977 se še vedno uporablja na nekaterih območjih po svetu in je veliko manj varen kot novejši standardi iz leta 1998, kot je AES (Napredni standard šifriranja) in Trojni DES. To pomeni, da je velika večina naročnikov v ZDA varnih. Večina manjših operaterjev, kot so Virgin, Boost, Ting in drugi, se odmika od večjih operaterskih omrežij, zaradi česar so varni tudi pred tem izkoriščanjem.
Če imate slučajno lastnik telefona, ki meji na sedem let, si kupite novega. V nasprotnem primeru ste varni.
Sprint in Verizon, ki sploh nista uporabljala kartic SIM, dokler nista začela uvajati omrežij visoke hitrosti 4G LTE, sta nam povedala, da "100 odstotkov" njunih kartic SIM uporablja novejše, varnejše standarde šifriranja.
"Kartice SIM Verizon niso ranljive za ta potencialni napad zaradi načina njihovega oblikovanja in izdelave," je dejal predstavnik Verizona. "Zasebnost in varnost naših strank jemljemo zelo resno in bomo še naprej sodelovali z našimi prodajalci kartic SIM, industrijskimi skupinami in drugimi, da bi preprečili in preprečili morebitne varnostne pomisleke."
AT&T in T-Mobile sta v preteklosti sicer uporabljala ranljivi standard DES, vendar že vrsto let uporabljata Triple DES. Predstavniki AT&T so povedali, da standarda, ki ga je mogoče vdreti, niso uporabljali že "skoraj desetletje". T-Mobile ni uporabil to za "vsaj sedem let." Če imate slučajno lastnik telefona, ki meji na sedem let, si kupite novega eno. V nasprotnem primeru ste varni. Tudi predstavniki T-Mobile so nam potrdili, da so varni tudi naročniki Metro PCS.
Še en razlog, da ne skrbite
Toda kaj storiti, če ne uporabljate enega od velikih prevoznikov v ZDA ali a manjši ponudnik ki uporablja eno od njihovih omrežij? Bi vas moralo skrbeti? Nohl pravi, da morajo vsi ostati mirni.
»Zaenkrat ni razloga za skrb, saj bodo kriminalci verjetno potrebovali mesece, da bodo ponovno uporabili rezultate raziskave,« je Nohl povedal za Digital Trends. "Če do takrat omrežja še niso uvedla omrežne obrambe ali nadgradila svojih kartic SIM na daljavo, je morda čas, da zaprosite za novo kartico SIM." Dodaja, »Zloraba je verjetno še nekaj mesecev stran,« in da je SR Labs delil rezultate »pred nekaj meseci in je bil v zelo konstruktivnem dialogu z nosilci vseh časov. od."
Nohlova ekipa je porabila tri leta in testirala več kot 1000 kartic SIM, da bi odkrila napako. Nohl bo povej podrobneje o ranljivosti na varnostni konferenci BlackHat 1. avgusta 2013.
Kaj storiti, če ste še vedno zaskrbljeni
Če ne živite v Združenih državah ali ne poznate statusa svojega operaterja, je najbolje, da pokličete svojega mobilnega operaterja in vprašate.
"Vprašanje ponudnika storitev za več informacij je trenutno najboljša možnost," je dejal Roel Schouwenberg, višji varnostni raziskovalec pri Kaspersky Lab. "Upamo, da bodo hitro ukrepali in kmalu zagotovili več informacij na svojih spletnih straneh."
"Ta novica bi morala služiti kot alarm za vse ponudnike storitev, ki še vedno uporabljajo zastarelo tehnologijo," dodaja Schouwenberg, »kot tudi poudarja pomen uveljavljanja novih varnostnih dogodkov, ko mogoče.”
Schouwenberg poudarja, da ni hitre rešitve za to izkoriščanje kartice SIM, če jo imate. Telefoni, na katere vpliva ranljivost kartice SIM (kot so starejši telefoni na preklop), nimajo dostopa do nobene oblike varnostne programske opreme, ki bi lahko pomagala preprečiti napade. Toda če ste v Združenih državah, ste verjetno varni. Če niste, imate nekaj mesecev časa, da preklopite na sodobnejšega operaterja.
Posodobil 25. 7. 2013 Jeffrey Van Camp: Lahko potrdimo, da Metro PCS uporablja tudi Triple DES, tako da so uporabniki te storitve, ki je zdaj v lasti T-Mobilea, varni pred to ranljivostjo.
Članek prvotno objavljen 24.7.2013.
Priporočila urednikov
- Najbolj moteča funkcija iPhona 14 je morda slabša pri iPhonu 15
- Ali ima iPhone 14 kartico SIM?
