Κενό ασφαλείας στην κρυπτογράφηση των καρτών SIM κάνει ευάλωτα εκατομμύρια κινητά

[nnn]

Ευπάθεια στις SIM κάρτες ορισμένων συσκευών μπορεί να προκαλέσει μόλυνση από malware και κρυφή παρακολούθηση σύμφωνα με τον Karsten Nohl, ιδρυτή της Security Research Labs.

Ο Nohl (το 2008 έγινε γνωστός δημοσιεύοντας αδυναμίες ασφαλείας στα ασύρματα smart card chips και το 2009 έσπασε τον αλγόριθμο ασφαλείας του GSM), εντόπισε ένα ελλάτωμα στην κρυπτογράφηση της SIM που μπορεί να επιτρέψει σε επιτιθέμενο να αποκτήσει το ψηφιακό κλειδί 56 χαρακτήρων της, με το οποίο μπορούν να γίνουν τροποποιήσεις στην κάρτα.

Το κενό ασφαλείας μπορεί να επηρεάσει ως 750 εκατομμύρια κινητά τηλέφωνα και να έχει σαν αποτέλεσμα την παρακολούθηση συνομιλιών, τις μη εξουσιοδοτημένες αγορές ή την κλοπή της ταυτότητας του κατόχου της συσκευής.

Όπως είπε χαρακτηριστικά η όλη διαδικασία θέλει μόλις 2 λεπτά με χρήση ενός τυπικού υπολογιστή.

We can remotely install software on a handset that operates completely independently from your phone.

We can spy on you. We know your encryption keys for calls. We can read your SMSs. More than just spying, we can steal data from the SIM card, your mobile identity, and charge to your account.

Η ευπάθεια εντοπίστηκε σε μια κρυπτογραφική μέθοδο του 1970, την Digital Encryption Standard που αναπτύχθηκε από την IBM, και η οποία χρησιμοποιείται σε σχεδόν 3 δισεκατομμύρια κινητά καθημερινά και παρά την ενίσχυση της ασφάλειας της τα τελευταία χρόνια, πολλές συσκευές χρησιμοποιούν ακόμα το παλιό πρότυπο.

Το GSM Association που αντιπροσωπεύει την βιομηχανία των κινητών συσκευών έχει ενημερωθεί για τα αποτελέσματα της διετούς μελέτης από τον Nohl και έχει αποστείλει σχετική ενημέρωση στα μέλη του που ακόμα χρησιμοποιούν την ξεπερασμένη και ευάλωτη μέθοδο κρυπτογράφησης.

Πηγή : Cnet

[Φιλόσοφος_Στ@ρχίδας]

Αυτό λογικά αφορά τις παλιές SIM και όχι τις USIM που έχουμε οι περισσότεροι;

- - - Updated - - -

We can remotely install software on a handset that operates completely independently from your phone.

We can spy on you. We know your encryption keys for calls. We can read your SMSs. More than just spying, we can steal data from the SIM card, your mobile identity, and charge to your account.

Ώπα ρεεεεεε

[tsigarid]

1 στα 3 κινητά δηλαδή έχει ακόμα την παλιά μέθοδο; Πως ξέρουμε σε ποια κατηγορία ανήκει η sim μας;

[aiolos.01]

Απο οτι καταλαβαίνω τα μόνα δεδομένα στα οποία έχει πρόσβαση είναι οτι υπάρχει στη SIM. Λέει οτι μπορεί να εγκαταστήσει software αλλά αυτό δεν θα έχει σχέση με το λειτουργικό του τηλεφώνου αλλά θα τρέχει μόνο στη SIM. Τουλάχιστον αυτό καταλαβαίνω απο το original άρθρο.

[Ant0n1z]

Θέλει να μας πει οτι μπορεί να αποκτήσει πληροφορίες από το κινητό μας χωρίς να το θέλουμε;
Θα πηδηχτώ απ' το παράθυρο.

[serfistas1]

Το γνωρίζουν αλλά γιατί δεν το διορθώνουν άμεσα? Ποιοι θα υποστούν τις ανάλογες συνέπειες?

[tzelen]

Αν καταλαβαίνω καλά το παρακάτω:

Όπως είπε χαρακτηριστικά η όλη διαδικασία θέλει μόλις 2 λεπτά με χρήση ενός τυπικού υπολογιστή.

Δεν υπάρχει κανένας ιδιαίτερος λόγος ανησυχίας. Για να σου κάνουν ζημιά θα πρέπει ή να σου πάρουν το τηλέφωνο (και βέβαια θα κάνεις φραγή, οπότε άχρηστη η SIM για τον επίδοξο), ή γνωστός σου θα σου πει έλα ρε φιλαράκι να σου κάνω μια αναβάθμιση και να στην κάνει.

[RiDeLub]

Μια λίγο καλύτερη αναφορά εδώ

Ουσιαστικά κατά την διαδικασία ενός ΟΤΑ update του λογισμικού της SIM, αν γίνει κάποιο "λάθος" υπάρχουν περιπτώσεις μαζί με το error code να επιστραφεί και το 56-bit κλειδί πίσω στον updater.
Όπως αναφέρει ο ερευνητής:

Give me any phone number and there is some chance I will, a few minutes later, be able to remotely control this SIM card and even make a copy of it

Ας ελπίσουμε ότι οι carriers θα κάνουν τα απαραίτητα updates σύντομα

[grayden]

Κάτσε να του στείλω τον δικό μου αριθμό γιατί χρόνια προσπαθώ να κλωνοποιήσω την κάρτα μου αλλά δεν τα έχω καταφέρει ακόμα.

[knbsep]

εντόπισε ένα ελλάτωμα στην κρυπτογράφηση της SIM που μπορεί να επιτρέψει σε επιτιθέμενο να αποκτήσει το ψηφιακό κλειδί 56 χαρακτήρων της, με το οποίο μπορούν να γίνουν τροποποιήσεις στην κάρτα.

Μήπως εννοεί τον επιτιθέντα???

[euri]

Off Topic

εντόπισε ένα ελλάτωμα στην κρυπτογράφηση της SIM που μπορεί να επιτρέψει σε επιτιθέμενο να αποκτήσει το ψηφιακό κλειδί 56 χαρακτήρων της, με το οποίο μπορούν να γίνουν τροποποιήσεις στην κάρτα.

Μήπως εννοεί τον επιτιθέντα???

Τι σημαίνει "επιτιθέντας"

[intech]

Off Topic

Μάλλον αυτό, αλλά δεν βρίσκω το ς http://www.lexigram.gr/lex/arch/%E1%...BD%CF%84%CE%B1

Χωρίς καμμία κακή πρόθεση, καλοκαίρι είναι,

[knbsep]

Ό,τι τελειώνει σε μένος είναι αυτός που το δέχεται. Βλέπε δαρ-μένος, γ@μη-μένος κ.α
Ό,τι τελειώνει σε έντας είναι αυτός που το κάνει. Βλέπε επιτιθ-έντας...

[cranky]

Το «επιτιθέμενος» είναι μετοχή ενεστώτα, και το «επιτιθέντας» μετοχή αορίστου το «επιτίθεμαι».
Το ίδιο νόημα έχουν.

[grayden]

Off Topic

Να πίνεται πολύ νερό παιδιά, με τόση ξηρασία το καλοκαίρι το έχετε ανάγκη.