Karsten Nohl odhalil dieru, vďaka ktorej dokáže obísť 56 znakov dlhý kód, zabezpečujúci čip pred modifikáciami. Následne dokázal odpočúvať volajúceho, vykonávať mobilné platby a vydávať sa za vlastníka telefónu naklonovaním celej SIM karty. Vírus pritom podľa svojich slov do telefónov posielal prostredníctvom SMS správy. Celá operácia trvala okolo dvoch minút a stačil na ňu obyčajný počítač.
Kompletná krádež údajov zo SIM kariet je možná vďaka spusteniu inštalácie softvéru, ktorý dokáže pracovať nezávisle od firmvéru telefónu. Diera sa týka kryptovacieho štandardu D.E.S. Nohl ju testoval počas dvoch rokov na telefónoch bežiacich v sieťach európskych a amerických operátorov na asi tisíc SIM kartách, patriacich jeho výskumnému tímu Security Research Labs, ktorý radí nemeckým a americkým spoločnostiam ohľadne mobilnej bezpečnosti. Chyba sa podľa neho dá zneužiť na štvrtine SIM bežiacich na staršej kryptovacej technológii. Tá je prítomná približne v polovici zo šiestich miliárd v súčasnosti aktívnych SIM kariet po celom svete.
Nohl sa už o svoje zistenia podelil s asociáciou mobilných operátorov (GSMA), ktorá napríklad organizuje aj každoročný mobilný kongres v Barcelone. Všetky podrobnosti by mal zverejniť 3. augusta vo svojom vystúpení na hackerskej konferencii Black Hat. GSMA už informovala operátorov a výrobcov využívajúcich starý kryptovací štandard.
Karsten Nohl - obr: Forbes.com
GSMA si zároveň nemyslí, že sa ohrozenie týka až spomínaných 750 miliónov SIM kariet, počká si však na budúci týždeň a zverejnenie celého výskumu. Infekčné textovky Nohl posielal tak, aby sa vydávali za správy od operátora (napríklad tie, ktoré identifikujú majiteľa pre vstup do mobilných SMS platieb) a pozmenil ich digitálny podpis. Odporúčaním pre výrobcov SIM kariet je využívanie lepších mechanizmov pre blokovanie takýchto správ a samozrejme používanie novších štandardov kryptovania. Podľa neho by mali SIM za nové vymeniť používatelia, ktorí ich majú staršie ako tri roky. K infikácii prichádza prostredníctvom chyby v SIM kartách, údajne teda nezáleží na tom, či používateľ vlastní smartfón, alebo klasický telefón.
Zdroj: New York Times, Black Hat
Diskusia k článku: