เมื่อต้นสัปดาห์ที่ผ่านมา Karsten Nohl นักวิจัยด้านความปลอดภัยของ เอสอาร์ แล็บเปิดเผยว่าเขาค้นพบช่องโหว่ขนาดใหญ่ในการเข้ารหัสซิมการ์ดที่อาจทำให้อุปกรณ์ซิมการ์ดมากถึง 750 ล้านเครื่องจากทั้งหมด 7 พันล้านเครื่องในโลกเสี่ยงต่อการถูกโจมตี ไม่ใช่แค่การแฮ็กทั่วไปของคุณเท่านั้น หากซิมการ์ดในโทรศัพท์ของคุณถูกบุกรุก โทรศัพท์จะเทียบเท่ากับการขโมยข้อมูลระบุตัวตน ผู้บุกรุกสามารถสร้างความเสียหายได้มาก
ซิมการ์ด หรือ Subscriber Identity Module จะบอกผู้ให้บริการเครือข่ายไร้สายของคุณว่าคุณคือใครและเชื่อถือได้ แฮกเกอร์ที่ใช้ประโยชน์จากซิมของคุณสามารถเข้าถึงบัญชีผู้ให้บริการระบบไร้สาย ข้อความและรายชื่อติดต่อบางส่วน และข้อมูลระบุเครือข่ายของคุณได้ พวกเขาสามารถแก้ไขบัญชีผู้ให้บริการของคุณ เปลี่ยนเส้นทางการโทร โคลนหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์เครื่องอื่น ขโมยข้อมูลรับรองการชำระเงินของคุณโดยใช้ข้อมูลนี้ (รวมถึงแอปการชำระเงิน NFC บางแอป) เปลี่ยนข้อความเสียง ส่งข้อความในนามของคุณ และรับตำแหน่งที่แน่นอนของคุณโดยส่ง Ping ไปยังผู้ให้บริการของคุณ เหนือสิ่งอื่นใด รายการการกระทำที่เลวร้ายที่เป็นไปได้ด้วยการเข้าถึง SIM มีอยู่ในระดับสูง และการบุกรุกโทรศัพท์ของคุณก็เกือบจะง่ายพอ ๆ กับการส่งข้อความ
วิดีโอแนะนำ
ผู้ใช้ AT&T, Sprint, T-Mobile และ Verizon ปลอดภัย
โชคดีที่คุณอาจไม่ต้องกังวล แม้จะมีมากมายก็ตาม รายงานที่คลุมเครือและน่ากลัว หากคุณอาศัยอยู่ในสหรัฐอเมริกา ซิมการ์ดของคุณ (การ์ดเล็กๆ ที่มักจะอยู่ใต้แบตเตอรี่โทรศัพท์) อาจไม่เสี่ยงต่อการถูกแฮ็ก
ตัวแทนจากผู้ให้บริการเครือข่ายไร้สายรายใหญ่ทั้งสี่รายในสหรัฐอเมริกา ได้แก่ AT&T, Sprint, T-Mobile และ Verizon ได้ยืนยันกับ Digital Trends ว่าพวกเขาไม่ได้ใช้ DES 56 บิตรุ่นเก่า (มาตรฐานการเข้ารหัสข้อมูล) ซิมที่เสี่ยงต่อการถูกโจมตีโดย Nohl มาตรฐานอายุตั้งแต่ปี 1977 ยังคงใช้อยู่ในบางพื้นที่ทั่วโลก และมีความปลอดภัยน้อยกว่ามาตรฐานใหม่ปี 1998 เช่น AES (มาตรฐานการเข้ารหัสขั้นสูง) และ ทริปเปิ้ล DES. ซึ่งหมายความว่าสมาชิกส่วนใหญ่ในสหรัฐอเมริกามีความปลอดภัย ผู้ให้บริการรายเล็กส่วนใหญ่เช่น Virgin, Boost, Ting และผู้ให้บริการรายอื่น ๆ ต่างแยกตัวออกจากเครือข่ายผู้ให้บริการหลัก ทำให้พวกเขาปลอดภัยจากการโจมตีนี้เช่นกัน
หากคุณเป็นเจ้าของโทรศัพท์ที่มีอายุเจ็ดปี ให้ไปซื้อเครื่องใหม่ มิฉะนั้นคุณจะปลอดภัย
Sprint และ Verizon ซึ่งไม่ได้ใช้ซิมการ์ดเลยจนกระทั่งพวกเขาเริ่มปรับใช้เครือข่าย 4G LTE ความเร็วสูง บอกเราว่า "100 เปอร์เซ็นต์" ของซิมการ์ดของพวกเขาใช้มาตรฐานการเข้ารหัสที่ใหม่กว่าและปลอดภัยกว่า
“ซิมการ์ด Verizon ไม่เสี่ยงต่อการโจมตีที่อาจเกิดขึ้นนี้ เนื่องจากวิธีการออกแบบและการผลิต” ตัวแทนของ Verizon กล่าว “เราให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของลูกค้าเป็นอย่างมาก และจะทำงานร่วมกับผู้จำหน่ายซิมการ์ด กลุ่มอุตสาหกรรม และอื่นๆ ต่อไปเพื่อป้องกันและขัดขวางข้อกังวลด้านความปลอดภัย”
AT&T และ T-Mobile เคยใช้มาตรฐาน DES ที่มีช่องโหว่ในอดีต แต่ใช้ Triple DES มาหลายปีแล้ว ตัวแทนของ AT&T กล่าวว่าไม่ได้ใช้มาตรฐานที่สามารถแฮ็กได้มา “เกือบทศวรรษแล้ว” T-Mobile ไม่ได้ใช้ เป็นเวลา “อย่างน้อยเจ็ดปี” หากคุณเป็นเจ้าของโทรศัพท์ที่มีอายุเจ็ดปี ให้ไปซื้อใหม่ หนึ่ง. มิฉะนั้นคุณจะปลอดภัย ตัวแทนของ T-Mobile ยังยืนยันกับเราว่าสมาชิก Metro PCS นั้นปลอดภัยเช่นกัน
อีกเหตุผลที่ไม่ต้องกังวล
แต่คุณควรทำอย่างไรหากคุณไม่ได้ใช้หนึ่งในผู้ให้บริการรายใหญ่ของสหรัฐอเมริกาหรือก ผู้ให้บริการรายเล็ก ที่ใช้เครือข่ายใดเครือข่ายหนึ่งของพวกเขา? คุณควรกังวลไหม? โนห์ลบอกว่าทุกคนควรสงบสติอารมณ์
“ในขณะนี้ ไม่มีเหตุผลที่จะต้องกังวล เนื่องจากอาชญากรอาจต้องใช้เวลาหลายเดือนในการนำผลการวิจัยกลับมาใช้ใหม่” Nohl บอกกับ Digital Trends “หากถึงเวลานั้น เครือข่ายยังไม่ได้ใช้การป้องกันเครือข่ายหรืออัปเกรดซิมจากระยะไกล อาจถึงเวลาที่ต้องขอซิมใหม่” เขาเสริมว่า “การใช้ในทางที่ผิดน่าจะยังต้องใช้เวลาอีกหลายเดือน” และ SR Labs ได้แชร์ผลลัพธ์ “เมื่อหลายเดือนก่อนและได้พูดคุยอย่างสร้างสรรค์กับการดำเนินการอย่างที่ไม่เคยมีมาก่อน เนื่องจาก."
ทีมงานของ Nohl ใช้เวลาสามปีและทดสอบซิมการ์ดมากกว่า 1,000 ชิ้นเพื่อค้นหาจุดบกพร่อง โนห์ลจะ พูดรายละเอียดเพิ่มเติม เกี่ยวกับช่องโหว่ในการประชุมด้านความปลอดภัยของ BlackHat เมื่อวันที่ 1 สิงหาคม 2556
จะทำอย่างไรถ้าคุณยังกังวลอยู่
หากคุณไม่ได้อาศัยอยู่ในสหรัฐอเมริกา หรือไม่ทราบสถานะของผู้ให้บริการ ทางออกที่ดีที่สุดคือโทรหาผู้ให้บริการมือถือและสอบถาม
“การขอข้อมูลเพิ่มเติมจากผู้ให้บริการถือเป็นทางเลือกที่ดีที่สุดในปัจจุบัน” Roel Schouwenberg นักวิจัยด้านความปลอดภัยอาวุโสของ Microsoft กล่าว แคสเปอร์สกี้ แลป. “หวังว่าพวกเขาจะดำเนินการอย่างรวดเร็วและให้ข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์ของพวกเขาในไม่ช้า”
“ข่าวนี้น่าจะเป็นการเตือนผู้ให้บริการที่ยังคงใช้เทคโนโลยีที่ล้าสมัย” Schouwenberg กล่าวเสริม “รวมทั้งเน้นย้ำถึงความสำคัญของการผลักดันการพัฒนาความปลอดภัยใหม่ๆ เมื่อใด เป็นไปได้."
Schouwenberg ชี้ให้เห็นว่าไม่มีวิธีแก้ไขด่วนสำหรับการใช้ประโยชน์จากซิมการ์ดนี้หากคุณมี โทรศัพท์ที่ได้รับผลกระทบจากช่องโหว่ของซิมการ์ด (เช่น โทรศัพท์ฝาพับรุ่นเก่า) จะไม่สามารถเข้าถึงซอฟต์แวร์รักษาความปลอดภัยรูปแบบใดๆ ที่สามารถช่วยป้องกันการโจมตีได้ แต่ถ้าคุณอยู่ในสหรัฐอเมริกา คุณก็คงจะปลอดภัย หากคุณไม่เป็นเช่นนั้น คุณมีเวลาสองสามเดือนในการเปลี่ยนไปใช้ผู้ให้บริการที่อัปเดตมากขึ้น
อัปเดตเมื่อวันที่ 25/07/2013 โดย Jeffrey Van Camp: เราสามารถยืนยันได้ว่า Metro PCS ใช้ Triple DES ดังนั้นผู้ใช้บริการดังกล่าวซึ่งปัจจุบันเป็นเจ้าของโดย T-Mobile จึงปลอดภัยจากช่องโหว่นี้
บทความเผยแพร่ครั้งแรกเมื่อวันที่ 24-7-2556
คำแนะนำของบรรณาธิการ
- ฟีเจอร์ที่น่ารำคาญที่สุดของ iPhone 14 อาจแย่กว่าใน iPhone 15
- iPhone 14 มีซิมการ์ดหรือไม่?
