Átverhető SIM-kártyák

Hamarosan kezdődik a világ egyik legnevesebb hackerkonferenciája, a Black Hat, és ilyenkor beindulnak az ottani előadók előzetes promóciós kampányai. Így tett a Security Research Labs titkosítási szakértője, Karsten Nohl is, aki a SIM-kártyák potenciális sérülékenységéről beszél majd a találkozón. A szakember egy blogbejegyzésben ismerteti röviden, hogy milyen problémával találkozott.

Hirdetés

A lényeg: Nohl arra hívja fel a figyelmet, hogy sok kártyán még mindig elavult, az 1970-es évek titkosítási színvonalát tükröző megoldásokat alkalmaznak, és ez ma már kiemelt veszélyeket hordoz, mivel a támadók – és ezt a kutató demonstrálni is fogja a konferencián – viszonylag könnyen hozzáférnek az adott készülék helyzetéhez, az sms-funkcióhoz, illetve meg tudják változtatni a hangposta számát.

Jelenleg körülbelül hétmilliárd SIM-kártya van használatban a világon, ezeken sokféle titkosítási technológiát használnak, és azok a készülékek vannak veszélyben, ahol egy régi, ma már igen gyengének tartott, az úgynevezett DES (Data Encryption Standard) titkosítás hivatott az adatok hozzáférhetetlenségét biztosítani. Nohl ismerteti a kísérletük lényegét: elküldtek egy végrehajtható kódot egy DES-t használó telefonra. Mivel a kód aláírása nem volt megfelelő, így az természetesen nem futott le, ám a SIM visszaküldött egy hibaüzenetet. Ez az üzenet tartalmazta a kártya saját, 56 bites privát kulcsát – ezt viszont már viszonylag egyszerű visszafejteni: Nohlék egy átlagos számítógép és egy szivárványtábla segítségével két perc alatt végeztek a feladattal. És innen már könnyű: a megszerzett privát kulcs segítségével már „átverhetik” a kártyát, olyan rosszindulatú kódot futtathatnak le rajta, amellyel hozzáférnek a bizalmas adatokhoz.

A nagy kérdés persze az, és ez határozza meg a kutatás értékét is, hogy vajon hány SIM-kártyán alkalmaznak még ma is ilyen elavult titkosítási technológiát.

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

  • Mezítelen RFID kártyák

    Egy biztonsági szakember a régi típusú, de igen elterjedt azonosító kártyák védtelenségét fogja bemutatni a Black Hat konferencián.

  • Lehallgatásbiztos telefon a PGP megalkotójától

    A Silent Circle és a Geeksphone által létrehozott vegyesvállalat egy módosított Android operációs rendszerre épülő készülékkel tenné biztonságosabbá a mobilkommunikációt.

Előzmények