Bu haftanın başlarında güvenlik araştırmacısı Karsten Nohl SR Laboratuvarları, SIM kart şifrelemesinde, dünyadaki 7 milyar SIM kartlı cihazın 750 milyonunu saldırılara karşı savunmasız bırakabilecek devasa bir delik keşfettiğini açıkladı. Sadece sıradan bilgisayar korsanlığı saçmalıkları değil; telefonunuzun SIM kartının ele geçirilmesi kimlik hırsızlığının telefon eşdeğeridir. Davetsiz misafir çok fazla zarar verebilir.
SIM kart - veya Abone Kimlik Modülü - kablosuz operatörünüze kim olduğunuzu ve güvenilir olabileceğinizi söyler. SIM'inizi kullanan bilgisayar korsanları kablosuz operatör hesabınıza, bazı metinlere ve kişilere ve ağ kimlik bilgilerinize erişebilir. Bu bilgiyi kullanarak operatör hesabınızı değiştirebilir, telefon çağrılarınızı yeniden yönlendirebilir, telefon numaranızı başka bir telefona kopyalayabilir, ödeme bilgilerinizi çalabilirler. (bazı NFC ödeme uygulamaları dahil), diğer şeylerin yanı sıra sesli mesajınızı değiştirin, sizin adınıza metin gönderin ve operatörünüze ping atarak tam konumunuzu öğrenin. SIM erişimiyle mümkün olabilecek kötü eylemlerin listesi oldukça fazladır ve telefonunuza izinsiz girmek neredeyse kısa mesaj göndermek kadar kolaydır.
Önerilen Videolar
AT&T, Sprint, T-Mobile ve Verizon kullanıcıları güvende
Neyse ki endişelenmenize gerek olmayabilir. Birçok şeye rağmen belirsiz ve korkutucu raporlar Amerika Birleşik Devletleri'nde yaşıyorsanız, dolaşımda olan SIM kartınızın (genellikle telefonunuzun pilinin altında bulunan küçük kart) muhtemelen saldırıya uğrama riski yoktur.
Amerika Birleşik Devletleri'ndeki dört büyük kablosuz iletişim operatörünün (AT&T, Sprint, T-Mobile ve Verizon) temsilcileri, Digital Trends ile eski, 56 bit DES'i kullanmadıklarını doğruladılar (Veri Şifreleme Standardı) Nohl'un istismarına karşı savunmasız olan SIM'ler. 1977'den kalma bu eskitme standardı dünyanın bazı yerlerinde hâlâ kullanılmaktadır ve AES gibi daha yeni 1998 standartlarından çok daha az güvenlidir (Gelişmiş Şifreleme Standardı) Ve Üçlü DES. Bu, Amerika Birleşik Devletleri'ndeki abonelerin büyük çoğunluğunun güvende olduğu anlamına gelir. Virgin, Boost, Ting ve diğerleri gibi daha küçük operatörlerin çoğu, büyük operatör ağlarından kaçınarak onları bu istismara karşı da güvende tutuyor.
Yedi yaşına yaklaşan bir telefonunuz varsa gidip yeni bir tane satın alın. Aksi takdirde güvendesiniz.
Yüksek hızlı 4G LTE ağlarını uygulamaya başlayana kadar hiç SIM kart kullanmayan Sprint ve Verizon, bize SIM kartlarının "yüzde 100"ünün daha yeni, daha güvenli şifreleme standartları kullandığını söyledi.
Bir Verizon temsilcisi, "Verizon SIM kartları, tasarlanma ve üretilme biçimleri nedeniyle bu potansiyel saldırıya karşı savunmasız değil" dedi. "Müşterilerimizin gizliliğini ve güvenliğini çok ciddiye alıyoruz ve herhangi bir güvenlik endişesini önlemek ve ortadan kaldırmak için SIM kart satıcılarımız, sektör gruplarımız ve diğerleriyle birlikte çalışmaya devam edeceğiz."
AT&T ve T-Mobile geçmişte savunmasız DES standardını kullanmıştı, ancak Triple DES'i uzun yıllardır kullanıyor. AT&T temsilcileri, hacklenebilir standardı "neredeyse on yıldır" kullanmadığını söyledi. T-Mobile kullanılmadı "en az yedi yıl" süreyle. Yedi yıllık bir telefona sahipseniz, yeni bir telefon alın bir. Aksi takdirde güvendesiniz. T-Mobile temsilcileri ayrıca Metro PCS abonelerinin de güvende olduğunu bizimle doğruladı.
Endişelenmemek için bir neden daha
Ancak ABD'nin büyük taşıyıcılarından birini veya daha küçük sağlayıcı ağlarından birini kullanan? Endişelenmeli misin? Nohl herkesin sakin kalması gerektiğini söylüyor.
Nohl, Digital Trends'e şunları söyledi: "Şu an için endişelenecek bir neden yok, çünkü suçluların araştırma sonuçlarını yeniden uygulamaya koyması aylar sürecek gibi görünüyor." "Eğer ağlar ağ savunmasını uygulamamışsa veya SIM'lerini uzaktan yükseltmemişse, yeni bir SIM istemenin zamanı gelmiş olabilir." O ekler, "Kötüye kullanıma muhtemelen hala aylar var" ve SR Labs sonuçları "birkaç ay önce paylaştı ve şimdiye kadar taşıyıcılarla çok yapıcı bir diyalog içindeydi" o zamandan beri."
Nohl'un ekibi hatayı keşfetmek için üç yıl harcadı ve 1000'den fazla SIM kartı test etti. Nohl yapacak daha detaylı konuş 1 Ağustos 2013'teki BlackHat güvenlik konferansındaki güvenlik açığı hakkında.
Hala endişeleniyorsanız ne yapmalısınız?
Amerika Birleşik Devletleri'nde yaşamıyorsanız veya operatörünüzün durumunu bilmiyorsanız en iyi seçenek mobil operatörünüzü arayıp sormaktır.
Kıdemli güvenlik araştırmacısı Roel Schouwenberg, "Hizmet sağlayıcıdan daha fazla bilgi istemek şu anda en iyi seçenek" dedi. Kaspersky Laboratuvarı. "Umarım hızlı hareket ederler ve kısa süre içinde web sitelerinde daha fazla bilgi sağlarlar."
"Bu haber, hâlâ güncelliğini kaybetmiş teknolojileri kullanan tüm hizmet sağlayıcılar için bir uyandırma çağrısı görevi görmelidir." Schouwenberg şunu ekliyor: "Aynı zamanda yeni güvenlik gelişmelerini öne çıkarmanın önemini vurguluyor. olası."
Schouwenberg, eğer varsa, bu SIM kart istismarının hızlı bir çözümü olmadığını belirtiyor. SIM kart güvenlik açığından etkilenen telefonların (eski kapaklı telefonlar gibi) saldırıları önlemeye yardımcı olabilecek herhangi bir güvenlik yazılımına erişimi yoktur. Ancak Amerika Birleşik Devletleri'ndeyseniz muhtemelen güvendesiniz. Değilseniz, daha güncel bir operatöre geçmek için birkaç ayınız var.
7-25-2013 tarihinde Jeffrey Van Camp tarafından güncellendi: Metro PCS'nin de Triple DES kullandığını doğrulayabiliriz, dolayısıyla artık T-Mobile'a ait olan bu hizmetin kullanıcıları bu güvenlik açığına karşı güvendedir.
Makale ilk olarak 24.7.2013'te yayınlandı.
Editörlerin Önerileri
- iPhone 14'ün en sinir bozucu özelliği iPhone 15'te daha kötü olabilir
- iPhone 14’ün SIM kartı var mı?
