iPhone & iPad

В SIM-картах обнаружена опасная уязвимость

Миллионы мобильных телефонов уязвимы к шпионскому ПО в связи с использованием устаревших методов криптографии. Об этом рассказали специалисты по информационной безопасности из компании Security Research Labs.

SIM-1

Эксперт в области криптографии Карстен Ноль нашел способ обманным путем получить доступ к информации о местоположении устройства и SMS-функциям. Более того, эксперту также удалось изменить номер голосовой почты. В рамках своего исследования специалист анализировал SIM-карты телефонов, которые связывают устройство с номером, а также позволяют проверить на подлинность обновления ПО и команды от оператора.

Для обеспечения конфиденциальности и безопасности 7 миллиардов SIM-карт, которые используются по всему миру, применяется шифрование. В рамках своего исследования Ноль обнаружил, что многие SIM-карты используют стандартное шифрование 1970 года – DES (Data Encryption Standard). По его оценкам, сегодня в обиходе около 3 млрд таких идентификационных модулей, 750 млн из них имеют описываемую «дыру» в безопасности.

Для определения уровня безопасности эксперт отправил двоичный код через SMS на устройство, которое привязано к SIM-карте, защищенной DES. Так как двоичный код не был должным образом криптографически подписан, он не сработал на телефоне. Однако, отвергнув код, SIM-карта телефона совершила ошибку: она вернула SMS с кодом ошибки, содержащее 56-битный зашифрованный секретный ключ, который можно взломать, используя распространенные хакерский методы. Security Research Labs удалось взломать секретный ключ за две минуты на обычном компьютере.

По словам специалиста, секретный ключ открывает возможность отправки вредоносных обновлений на мобильное устройство. При этом телефон будет считать, что программы поставляются из законного источника, и откроет доступ к конфиденциальным данным.

Карстен Ноль уже проинформировал GSM Association о своем открытии. Последняя, в свою очередь, провела переговоры с производителями SIM-карт и другими компаниями с целью найти лучший выход из сложившейся ситуации.

5 комментариев

Написать комментарий