Изображение: joyenjoys.com
Обновление: CNN сообщило 1 августа, что пять крупных операторов выпустили патч для блокировки уязвимости.
Взлом SIM-карты за две минуты может позволить хакеру прослушивать ваши телефонные звонки, отправлять текстовые сообщения с вашего номера телефона и совершать мобильные платежи с вашего счета. Уязвимость, обнаруженная немецким исследователем безопасности, присутствует примерно в 750 миллионах SIM-карт — около одной из четырех всех SIM-карт.
Дайте мне любой номер телефона, и есть вероятность, что через несколько минут я смогу удаленно управлять этой SIM-картой и даже сделать ее копию…
Уязвимость была обнаружена Карстеном Нолем, основателем Security Research Labs в Берлине — человеком, который еще в 2009 году создал инструмент для взлома шифрования GSM, позволяющий любому, у кого есть сканер и ноутбук, прослушивать звонки с мобильных телефонов. Система, используемая для шифрования звонков GSM, была усилена благодаря его работе.
Эта новая уязвимость связана с системой шифрования, используемой на SIM-картах. Ноль обнаружил, что, отправляя поддельное текстовое сообщение оператора на телефон, примерно в 25 процентах случаев телефон отвечал сообщением об ошибке, раскрывающим 56-битный ключ безопасности SIM-карты. Второе текстовое сообщение, выдающее себя за обновление программного обеспечения, которое SIM-карта примет, поскольку оно использует ключ шифрования, позволит затем установить вирус, который даст хакеру широкий контроль над телефоном.
Система работает только с SIM-картами, использующими старый метод шифрования, известный как Data Encryption Standard, или DES. Более современные SIM-карты используют более сильные методы шифрования, которые не могут быть взломаны таким же образом, но нет способа определить, какую систему использует ваша SIM-карта.
Ноль подробно доложит о своих находках на конференции по безопасности Black Hat в августе, но он уже предоставил детали мобильным операторам, чтобы они могли устранить уязвимость. Представитель GSM Association заявил:
Мы смогли рассмотреть последствия и предоставить рекомендации тем сетевым операторам и поставщикам SIM-карт, которые могут быть затронуты.
На конференции мы должны узнать, так ли это на самом деле…