Κενά ασφαλείας στις κάρτες SIM από το 1998 θέτει σε κίνδυνο εκατομμύρια κινητά τηλέφωνα!

sim

Οι κάρτες SIM θεωρούνται εδώ και πολλά χρόνια ως το ασφαλέστερο τμήμα ενός κινητού τηλεφώνου καθώς αποτελούν τη σύνδεση του τελευταίου με την εταιρεία κινητής τηλεφωνίας και το σύστημα πληρωμής.

Ωστόσο, ο Γερμανός ερευνητής Karsten Nohl εντόπισε μια σειρά από κενά ασφαλείας στις κάρτες SIM που υφίστανται από το 1998 και ενδεχομένως να θέτουν σε κίνδυνο εκατομμύρια συσκευές σε όλο τον κόσμο, επιτρέποντας σε hackers να αποστέλουν premium SMS, να υποκλέπτουν και να καταγράφουν κλήσεις και να εξαπατούν το σύστημα πληρωμών των NFC συσκευών.

Το πρώτο bug έχει να κάνει με τον τύπο της κρυπτογράφησης που χρησιμοποιείται στην κάρτα SIM. Σύμφωνα με τον Nohl, το 1/8 περίπου όλων των καρτών κάνει χρήση του μηχανισμού ασφαλείας DES που αναπτύχθηκε το 1970. Οι εταιρείες κινητής τηλεφωνίας αναβαθμίζουν τις κάρτες SIM τους με ένα είδος “αθόρυβων” μηνυμάτων μαζί με μια κρυπτογραφική υπογραφή. Κάνοντας χρήση της υπογραφής αυτής οι ερευνητές βρήκαν τον τρόπο να σπάνε την κρυπτογράφηση των καρτών SIM και να αντιγράφουν το περιεχόμενο τους ή να τις επαναπρογραμματίζουν από την αρχή.

Το δεύτερο κενό ασφαλείας σχετίζεται με τις πληρωμές του χρήστη και προέρχεται από τον μη σωστό προγραμματισμό του συστήματος sandboxing της κάρτας SIM. Διαφορετικά προγράμματα έχουν πρόσβαση σε συγκεκριμένα μόνο δεδομένα που περιέχονται στην κάρτα SIM, ωστόσο σε πολλές κάρτες βρέθηκαν κακόβουλα προγράμματα να έχουν πρόσβαση στα δεδομένα πληρωμών του χρήστη.

Μέχρι τώρα περίπου το 1/4 των καρτών SIM που εξετάστηκαν (500 εκατομμύρια!) βρέθηκαν να είναι σε κίνδυνο. Τα νέα ευρήματα θα παρουσιαστούν στο ετήσιο συνέδριο Black Hat που διεξαχθεί στις 31 Ιουλίου στο Las Vegas. Σύμφωνα με τον Nohl, οι hackers θα μπορέσουν να εκμεταλλευτούν τα εν λόγω κενά ασφαλείας σε περίπου έξι μήνες από την αποκάλυψη τους, διάστημα κατά το οποίο ευελπιστεί ότι οι εταιρείες κινητής τηλεφωνίας να έχουν φροντίσει να επιληφθούν των προβλημάτων.

[via]

This entry was posted in Mobiles. Bookmark the permalink.