Złamano zabezpieczenia karty SIM. Problem dotyczy milionów telefonów. Odpowiedzi operatorów [AKTUALIZACJA]

Robert Kędzierski
22.07.2013
A A A
750 milionów kart SIM może być podatnych na ataki hakerów

750 milionów kart SIM może być podatnych na ataki hakerów (Fot. Flicrk.com)

New York Times publikuje raport, wedle którego udało się znaleźć słabe strony zabezpieczeń niektórych kart SIM. Może to prowadzić do zdalnego przejęcia kontroli nad urządzeniem. Problem może być poważny bo zagrożonych jest 750 milionów aparatów!

Chodzi o karty SIM zabezpieczone 56-bitowym szyfrowaniem DES (Data Encryption Standard). Nie jest on zaliczany do najnowszych jednak wciąż niezmiernie popularny. Używany w setkach milionów kart SIM.

Na trop luki w zabezpieczeniach wpadł Karsten Nohl, założyciel niemieckiej firmy Security Research Labs. Wystarczyło wysłać sygnał fałszywego operatora komórkowego, by 25% kart z zabezpieczeniem DES odpowiedziało na wiadomość przesyłając pełny 56-bitowy kod zabezpieczenia.

Dysponując kluczem Nohl był w stanie przesłać na kartę SIM wirusa ukrytego w wiadomości tekstowej. A to doprowadziło do przejęcia kontroli nad urządzeniem. Co umożliwia taki atak? Między innymi wysyłanie SMS-ów (również na płatne numery), przekierowanie rozmów na inny numer, śledzenie lokalizacji telefonu czy nawet wgrywanie na kartę dowolnych, złośliwych aplikacji działających niepostrzeżenie w tle. Jak widać zagrożenie jest poważne.

Ale jakby tego było mało Nohl znalazł jeszcze jeden błąd. Dotyczy on zabezpieczeń, które powinny izolować w pamięci karty uruchamiane tam aplikacje. Ta dziura prowadzi do nie mniej poważnych konsekwencji. Pozwala bowiem na nieautoryzowany dostęp do danych jednej aplikacji przez inną. W ten sposób wgrany z zewnątrz program może wyciągnąć np. informacje dotyczące mobilnych płatności. Możliwe jest też zdalne sklonowanie karty.

Według New York Timesa, który opisuje całą sprawę, włamanie zajęło zaledwie dwie minuty, użyto do niego najzwyklejszego peceta.

Wiarygodności niemieckiemu testowi dodaje też fakt, iż jest prowadzony od dwóch lat! Zweryfikowano już około tysiąca kart SIM w Europie i USA. Karsten Nohl szacuje że na świecie może być w użyciu 750 milionów kart podatnych na ataki.

O sprawie wie już GSMA, stowarzyszenie skupiające operatorów sieci komórkowych z 220 krajów. Producenci kart SIM obiecali zanalizować sytuację i podjąć kroki w celu jak najszybszego załatania luki w zabezpieczeniach. Miejmy nadzieję, że rozwiązanie szybko zostanie znalezione, metoda opisana przez Nohla jest przecież idealnym sposobem do ogołocenia niemal każdego konta bankowego.

Poprosiliśmy operatorów o informację, czy problem może dotyczyć polskich sieci komórkowych. Czekamy na odpowiedzi - gdy tylko dotrą zaktualizujemy artykuł.

[AKTUALIZACJA]

Pierwszy na nasze pytanie odpowiedział T-Mobile:

Wszyscy użytkownicy sieci T-Mobile mogą czuć się bezpiecznie i bez obaw korzystać ze swoich telefonów. W żadnym typie kart SIM wykorzystywanych w naszej sieci nie występuje opisany błąd, co potwierdziliśmy również z producentami kart. Dodatkowo stosowane przez nas metody szyfrowania na kartach SIM wykluczają możliwość przeprowadzenia takiego ataku.

[AKTUALIZACJA 2]

Odpowiedź Plusa:

Plus nie widzi powodu do niepokoju. Z naszych dotychczasowych ustaleń wynika, że karty oferowane przez siec Plus nie zawierają wspomnianego błędu. Wszystkie zamawiane przez Plusa karty są zabezpieczone przed tym zagrożeniem.

[AKTUALIZACJA 3]

Bezpiecznie jest też w Play. Rzecznik firmy, Marcin Gruszka pisze:

Nasi klienci są bezpieczni. Używamy najnowszych, zdecydowanie bardziej zaawansowanych rozwiązań.

[AKTUALIZACJA 4]

Oświadczenie Orange Polska:

Problem opisany w artykule nie dotyczy kart SIM dystrybuowanych przez Orange Polska. Używamy mocniejszego algorytmu, który skutecznie je zabezpiecza.

[ za theverge.com ]

Komentarze (59)
Zaloguj się
  • zbyszek600

    Oceniono 328 razy 282

    Informacja miałaby inna wartość, gdyby autor pofatygował sie i zapytał polskich operatorów, czy stosują takie zabezpieczenie kart. A tak to nie wiem, czy mam sie bać, czy nie.

  • aga.milos

    Oceniono 175 razy 141

    Wniosek? nie podawać nikomu swojego numeru telefonu, do nikogo nie dzwonić i nie odbierać żadnych rozmów. Można sobie za to pograć na telefonie w jakąś gierkę.

  • euforiusz

    Oceniono 152 razy 96

    Zawsze mnie zastanawialo dlaczego w programie red. Pospieszalskigo w ankietach SMSowych rozklad odpowiedzi byl zwykle 99:1.
    Ha!

  • Oceniono 60 razy 26

    Pierwsza mysl: Nie istnieje zaden system, ktory dzialalby bezblednie. Jest to matematycznie wykluczone!
    Druga mysl: Nie istnieje zaden powszechnie dostepny system operacyjny bez furtki dla sluzb specjalnych.
    Trzecia mysl: Trzeba zachowac ostroznosc wobec cyberprzestepczosci, ale przecietnym Kowalskim ktory dla panstwa nie stanowi zagrozenia sluzby specjalne raczej sie nie zainteresuja...

  • euforiusz

    Oceniono 74 razy 16

    W radiu mówili, że karty sieci W Rodzinie, są doskonale zabezpieczone.
    Prędziej masony przestaną Polskę rozkraddać niż ktoś włamie się na SIMa tej sieci.

  • kajajgzzz

    Oceniono 22 razy 10

    Przecież od lat ten system istnieje pełna inwigilacja telefonów komórkowych to stantardowa procedura na całym świecie.Włamać się do karty sim to poprosić lub zażądać o dane o danym abonencie.Czy tego nie wiedzieliście?

  • pediatra

    Oceniono 10 razy 8

    Oczywiście wiadomość niezwykle interesująca i informująca. Jednak zwykły Kowalski chce wiedzieć która sieć komórkowa najlepiej zabezpieczy jego interesy. I w razie wpadki któregoś z operatorów jak można odzyskać utracone pieniądze, wiadomości itd.

Aby ocenić zaloguj się lub zarejestrujX