SIM saugumo spraga 750-yje milijonų telefonų
Saugumo ekspertai sako, kad kai kuriose mobiliuosiuose telefonuose naudojamų SIM kortelių kodavimą programišiai, nuotoliniu būdu, gali nulaužti ir perimti telefono kontrolę į savo rankas.
Ši saugumo spraga susijusi su DES (angl. Data Encryption Standard) naudojamu senesnio tipo SIM kortelėse. Nors šio tipo standarto kai kurie gamintojai jau atsisakė, tačiau jis vis dar naudojamas milijonuose SIM kortelių.
The New York Times praneša, kad Vokietijos saugomo ekspertai iš „Security Research Labs“ aptiko, kad siunčiant sufalsifikuotą operatoriaus žinutę į mobilų telefoną, 25 procentais atvejų telefonas automatiškai į ją atsakydavo persiųsdamas savo 56-ų skaičių saugumo kodą.
Turėdamas šį kodą, „Security Research Labs“ įkūrėjas ir saugumo ekspertas Karsten Nohl galėjo išsiųsti virusą į mobilų telefoną ir apsimetus telefono savininku siųsti trumpąsias žinutes ir net atlikti mokėjimus operatoriui. Cituodamas Karsten Nohl, The New York Times rašo, kad naudojantis paprastu kompiuteriu, visa ši procedūra, trunka apie dvi minutes.
Per pastaruosius du metus Nohl šį metodą išbandė ant maždaug 1000 SIM kortelių Šiaurės Amerikoje ir Europoje. DES naudojamas maždaug trijuose milijarduose SIM kortelių visame pasaulyje, o Nohl paskaičiavimais apie 750 milijonų kortelių gali būti pažeidžiamos tokio tipo atakos.
GSMA yra informuota apie šią saugumo spragą ir pastaroji, savo ruožtu, apie tai pranešė mobilaus ryšio operatoriams ir kitoms kompanijoms dirbančioms su GSM tinklais. GSMA taip pat apie tai pranešė ir SIM kortelių gamintojams, kurie dabar ieško būdų šią problemą išspręsti.
Šį SIM kortelės nulaužimo būdą, Nohl ruošiasi pademonstruoti, rugpjūčio 1 dieną Las Vegas vyksiančioje „Black Hat“ saugumo konferencijoje. Jis taip pat planuoja, šių metų gruodžio mėnesį, paskelbti įvairių GSM operatorių naudojamų kortelių saugumo palyginimo sąrašą. Tikėkimės, kad iki to laiko, nesaugias korteles naudojantys operatoriai jau bus ėmęsi reikalingų veiksmų šiai spragai užlopyti.
