Раніше цього тижня Карстен Нол, дослідник безпеки в SR Labs, виявив величезну діру в шифруванні SIM-карти, яка може зробити 750 мільйонів із 7 мільярдів SIM-карток у світі вразливими до атак. Не лише звичайні хакерські махінації – якщо SIM-карту вашого телефону зламано, це телефонний еквівалент крадіжки особистих даних. Зловмисник може завдати великої шкоди.
SIM-карта або модуль ідентифікації абонента повідомляє вашому оператору бездротового зв’язку, хто ви є та що вам можна довіряти. Хакери, які використовують вашу SIM-картку, можуть отримати доступ до вашого облікового запису оператора бездротового зв’язку, деяких текстових повідомлень і контактів, а також ідентифікаційної інформації вашої мережі. Використовуючи цю інформацію, вони можуть змінити ваш обліковий запис оператора, перенаправити ваші телефонні дзвінки, клонувати ваш номер телефону на інший телефон, викрасти ваші платіжні облікові дані (включно з деякими платіжними програмами NFC), змінювати свою голосову пошту, надсилати текстові повідомлення від свого імені та отримувати ваше точне місцезнаходження за допомогою ping оператора, серед іншого. Список підлих дій, можливих із доступом до SIM-карти, великий, а зламати ваш телефон майже так само просто, як надіслати текстове повідомлення.
Рекомендовані відео
Користувачі AT&T, Sprint, T-Mobile і Verizon у безпеці
На щастя, можливо, вам не доведеться хвилюватися. Незважаючи на багато нечіткі та страшні звіти якщо ви живете в Сполучених Штатах, ваша SIM-карта (та маленька картка, яка зазвичай знаходиться під акумулятором вашого телефону), ймовірно, не ризикує бути зламаною.
Представники всіх чотирьох основних операторів бездротового зв’язку в Сполучених Штатах – AT&T, Sprint, T-Mobile і Verizon – підтвердили Digital Trends, що вони не використовують старішу 56-бітну DES (Стандарт шифрування даних) SIM-карти, вразливі до експлойту Nohl. Цей стандарт старіння 1977 року все ще використовується в деяких регіонах світу та є набагато менш безпечним, ніж нові стандарти 1998 року, такі як AES (Розширений стандарт шифрування) і Потрійний DES. Це означає, що переважна більшість абонентів у Сполучених Штатах у безпеці. Більшість невеликих операторів, таких як Virgin, Boost, Ting та інші, відмовляються від основних мереж операторів, що також захищає їх від цього експлойту.
Якщо у вас є телефон, якому близько семи років, купіть новий. В іншому випадку ви в безпеці.
Sprint і Verizon, які взагалі не використовували SIM-карти, поки не почали розгортати високошвидкісні мережі 4G LTE, повідомили нам, що «100 відсотків» їхніх SIM-карт використовують нові, безпечніші стандарти шифрування.
«SIM-карти Verizon не вразливі до цієї потенційної атаки через те, як вони розроблені та виготовлені», — сказав представник Verizon. «Ми дуже серйозно ставимося до конфіденційності та безпеки наших клієнтів і продовжуватимемо співпрацювати з нашими постачальниками SIM-карт, галузевими групами та іншими, щоб запобігти та усунути будь-які проблеми безпеки».
AT&T і T-Mobile дійсно використовували вразливий стандарт DES у минулому, але використовували Triple DES протягом багатьох років. Представники AT&T заявили, що не використовували хакерський стандарт «майже десять років». T-Mobile не використовував це протягом «принаймні семи років». Якщо у вас є телефон, якому близько семи років, купуйте новий один. В іншому випадку ви в безпеці. Представники T-Mobile також підтвердили нам, що абоненти Metro PCS також у безпеці.
Ще один привід не хвилюватися
Але що вам робити, якщо ви не користуєтеся одним із великих перевізників США або a менший провайдер який використовує одну з їхніх мереж? Чи варто вам хвилюватися? Ноль каже, що всі повинні зберігати спокій.
«На даний момент немає причин для занепокоєння, оскільки злочинцям, ймовірно, знадобляться місяці, щоб повторно застосувати результати дослідження», — говорить Нол Digital Trends. «Якщо до того моменту мережі не запровадили мережевий захист або не оновили свої SIM-карти віддалено, можливо, настав час попросити нову SIM». Він додає, «Імовірно, до зловживань залишилося кілька місяців», і що SR Labs поділилася результатами «кілька місяців тому та вела дуже конструктивний діалог із керрі відколи».
Команда Нола витратила три роки і протестувала понад 1000 SIM-карт, щоб виявити помилку. Ноль буде говорити детальніше про вразливість на конференції з безпеки BlackHat 1 серпня 2013 року.
Що робити, якщо ви все ще хвилюєтесь
Якщо ви не живете в Сполучених Штатах або не знаєте статус свого оператора, найкраще зателефонувати оператору мобільного зв’язку та запитати.
«На даний момент найкращим варіантом є звернення до постачальника послуг за додатковою інформацією», — сказав Роел Шоувенберг, старший дослідник безпеки Лабораторія Касперського. «Сподіваюся, вони швидко діятимуть і незабаром нададуть більше інформації на своїх веб-сайтах».
«Ця новина має послужити тривожним дзвінком для будь-яких постачальників послуг, які все ще використовують застарілі технології», додає Шоувенберг, «а також підкреслює важливість просування нових розробок безпеки, коли можливо».
Шоувенберг зазначає, що немає швидкого вирішення цієї проблеми з SIM-картою, якщо вона у вас є. Телефони, уразливі до SIM-картки (наприклад, старі розкладачки), не мають доступу до будь-якої форми програмного забезпечення безпеки, яке могло б допомогти запобігти атакам. Але якщо ви перебуваєте в Сполучених Штатах, ви, ймовірно, у безпеці. Якщо ні, у вас є кілька місяців, щоб перейти на більш актуального оператора.
Оновлено 25 липня 2013 р. Джеффрі Ван Кемпом: Ми можемо підтвердити, що Metro PCS також використовує Triple DES, тому користувачі цієї служби, яка зараз належить T-Mobile, захищені від цієї вразливості.
Стаття вперше опублікована 24.07.2013.
Рекомендації редакції
- Найбільш неприємна функція iPhone 14 може бути гіршою на iPhone 15
- Чи є в iPhone 14 SIM-карта?
