I løpet av helgen kom det noen nyheter om en utnyttelse som påvirker millioner av telefonbrukere. Tilsynelatende har krypteringen som brukes en feil som lar en hacker klone krypteringslegitimasjonen til et SIM-kort (Subscriber Identity Module), potensielt tillate dem å klone SIM-kortet ditt og hente ting som informasjon om planen din og betalinger, eller identifisere deg på Nettverk.
Det høres skummelt ut, og det er for de 500 millioner berørte SIM-kortene i naturen. Men som enhver god sikkerhetsskremsel som er verdt saltet, er det mye mer i historien enn vi hører. Klikk deg videre så snakker vi litt om det.
Kilde: Sikkerhetsforskningslaboratorier
Hvordan det fungerer
En angriper kan sende en kommando som ligner mye på kommandoen operatøren din sender for å fortelle telefonen at det er en trådløs oppdatering klar. Denne kommandoen er ugyldig fordi angriperen ikke har riktig krypteringsnøkkel. Telefonen din vil da sende tilbake en feilmelding som er signert med riktig krypteringsnøkkel. Når den potensielle hackeren har den riktige signeringsnøkkelen, kan de bruke noe programvare for å knekke nøkkelen brute-force og få en kopi av sin egen. Ved å bruke denne gyldige nøkkelen kan en ny melding sendes om en OTA, som telefonen din vil laste ned fordi nøkkelen er gyldig. Denne OTA kan være et program som henter alle SIM-kortdataene dine, slik at angriperen kan klone dem.
Med denne klonede kopien av SIM-kortet ditt kan de deretter autentisere seg som deg på operatørnettverket. Høres skremmende ut, ikke sant?
Hva vi ikke vet
Det er ett stort stygt problem med alt dette. Krypteringsmetoden som kan brytes, DES-56, var opprinnelig knekt i 1998 av EFF. Nå skal ingen bruke en kjent ødelagt krypteringsmetode. Av de syv milliarder pluss SIM-kort som eksisterer, er omtrent 500 millioner berørt.
500 millioner av hva som helst er mye, men sammenlignet med 7 milliarder (med b) er det en liten del. Rapportene om denne feilen utelater alle den viktigste informasjonen - hvem kan egentlig bli påvirket av denne utnyttelsen?
Folkene som gjenoppdaget DES-56-sprekken, ledet av Karsten Nohl, sjefforsker ved Security Research Labs i Berlin, holder en stor tale om utnyttelsen på Black Hat-konferansen i Vegas i slutten av juli. Inntil da har vi egentlig ikke detaljene. Vi gir deg beskjed når noen bestemmer seg for å gi oss beskjed.
I mellomtiden legger du bort tinnfolien. Vi får vite alle detaljene om en uke.