Tidigare i veckan har Karsten Nohl, säkerhetsforskare på SR Labs, avslöjade hans upptäckt av ett enormt hål i SIM-kortskryptering som kan göra så många som 750 miljoner av de 7 miljarder SIM-kortsenheter i världen sårbara för attacker. Inte bara dina genomsnittliga hackande illamående – om telefonens SIM-kort äventyras är det telefonmotsvarigheten till identitetsstöld. En inkräktare kan göra mycket skada.
Ett SIM-kort – eller Subscriber Identity Module – berättar för din trådlösa operatör vem du är och att du kan lita på. Hackare som utnyttjar ditt SIM-kort kan komma åt ditt trådlösa operatörskonto, vissa sms och kontakter och din nätverksidentifieringsinformation. Med hjälp av denna information kan de ändra ditt operatörskonto, dirigera om dina telefonsamtal, klona ditt telefonnummer till en annan telefon, stjäla dina betalningsuppgifter (inklusive vissa NFC-betalningsappar), ändra din röstbrevlåda, skicka ut sms som du och få din exakta plats genom att bland annat pinga din operatör. Listan över avskyvärda handlingar som är möjliga med SIM-åtkomst är hög, och att bryta sig in i din telefon är nästan lika enkelt som att skicka ett textmeddelande.
Rekommenderade videor
Användare av AT&T, Sprint, T-Mobile och Verizon är säkra
Som tur är behöver du kanske inte oroa dig. Trots många vaga och skrämmande rapporter cirkulerar, om du bor i USA, riskerar förmodligen inte ditt SIM-kort (det där lilla kortet som vanligtvis sitter under telefonens batteri) att bli hackat.
Representanter från alla fyra stora trådlösa operatörerna i USA – AT&T, Sprint, T-Mobile och Verizon – har bekräftat med Digital Trends att de inte använder den äldre, 56-bitars DES (Datakrypteringsstandard) SIM-kort som är sårbara för Nohls utnyttjande. Denna åldringsstandard från 1977 används fortfarande i vissa områden runt om i världen och är mycket mindre säker än nyare 1998-standarder som AES (Avancerad krypterings standard) och Trippel DES. Det betyder att de allra flesta prenumeranter i USA är säkra. De flesta mindre operatörer som Virgin, Boost, Ting och andra drar sig tillbaka från de stora operatörsnätverken, vilket gör dem säkra från detta utnyttjande också.
Om du råkar äga en telefon som är på gränsen till sju år gammal, köp en ny. Annars är du säker.
Sprint och Verizon, som inte använde SIM-kort alls förrän de började distribuera höghastighets 4G LTE-nätverk, berättade att "100 procent" av deras SIM-kort använder nyare, säkrare krypteringsstandarder.
"Verizon SIM-kort är inte sårbara för denna potentiella attack på grund av hur de är designade och tillverkade", sa en Verizon-representant. "Vi tar våra kunders integritet och säkerhet på största allvar och kommer att fortsätta att arbeta med våra SIM-kortsleverantörer, branschgrupper och andra för att förhindra och motverka alla säkerhetsproblem."
AT&T och T-Mobile använde den sårbara DES-standarden tidigare, men har använt Triple DES i många år. AT&T-representanter sa att de inte har använt den hackbara standarden på "nästan ett decennium." T-Mobile har inte använt det i "minst sju år". Om du råkar äga en telefon som är på gränsen till sju år gammal, köp en ny ett. Annars är du säker. T-Mobile-representanter bekräftade också med oss att Metro PCS-abonnenter också är säkra.
Ytterligare en anledning att inte oroa sig
Men vad ska du göra om du inte använder en av de stora amerikanska operatörerna eller en mindre leverantör som använder ett av deras nätverk? Bör du vara orolig? Nohl säger att alla borde hålla sig lugna.
"För tillfället finns det ingen anledning att vara orolig, eftersom brottslingar sannolikt kommer att ta månader att implementera forskningsresultaten på nytt", säger Nohl till Digital Trends. "Om, när de gör det, nätverk inte har implementerat nätverksförsvar eller uppgraderat sina SIM-kort på distans, kan det vara dags att be om ett nytt SIM." Han lägger till, "Misbruk är sannolikt fortfarande månader bort", och att SR Labs delade resultat "för flera månader sedan och har varit i en mycket konstruktiv dialog med bärarna någonsin eftersom."
Nohls team tillbringade tre år och testade mer än 1 000 SIM-kort för att upptäcka felet. Nohl kommer tala mer detaljerat om sårbarheten vid BlackHats säkerhetskonferens den 1 augusti 2013.
Vad du ska göra om du fortfarande är orolig
Om du inte bor i USA, eller inte vet statusen för din operatör, är det bäst att ringa din mobiloperatör och fråga.
"Att fråga tjänsteleverantören om mer information är för närvarande det bästa alternativet", säger Roel Schouwenberg, senior säkerhetsforskare på Kaspersky Lab. "Förhoppningsvis kommer de att gå snabbt och ge mer information på sina webbplatser inom kort."
"Denna nyhet bör fungera som en väckarklocka till alla tjänsteleverantörer som fortfarande använder föråldrad teknik," tillägger Schouwenberg, "samt lyfta fram vikten av att driva ut nya säkerhetsutvecklingar när möjlig."
Schouwenberg påpekar att det inte finns någon snabb lösning för detta SIM-kortsmissbruk om du har det. Telefoner som påverkas av SIM-kortets sårbarhet (som äldre vipptelefoner) har inte tillgång till någon form av säkerhetsprogramvara som kan hjälpa till att förhindra attacker. Men om du är i USA är du troligen säker. Om du inte är det har du några månader på dig att byta till en mer uppdaterad operatör.
Uppdaterad 2013-07-25 av Jeffrey Van Camp: Vi kan bekräfta att Metro PCS också använder Triple DES, så användare av den tjänsten, som nu ägs av T-Mobile, är säkra från denna sårbarhet.
Artikeln publicerades ursprungligen 2013-07-24.
Redaktörens rekommendationer
- iPhone 14s mest irriterande funktion kan vara värre på iPhone 15
- Har iPhone 14 ett SIM-kort?
