Čez vikend so se pojavile novice o zlorabi, ki prizadene milijone uporabnikov telefonov. Očitno ima uporabljeno šifriranje napako, ki hekerju omogoča kloniranje šifrirnih poverilnic kartice SIM (Subscriber Identity Module), kar bi jim lahko omogočilo, da klonirajo vašo kartico SIM in pridobijo stvari, kot so informacije o vašem načrtu in plačilih, ali vas identificirajo na omrežje.
Sliši se strašljivo in velja za 500 milijonov prizadetih kartic SIM v naravi. Toda kot vsak dober varnostni strah, ki je vreden soli, je zgodba veliko več, kot slišimo. Kliknite in malo se bomo pogovorili o tem.
Vir: Varnostni raziskovalni laboratoriji
Kako deluje
Napadalec lahko pošlje ukaz, ki je zelo podoben ukazu, ki ga pošlje vaš operater, da vaš telefon obvesti, da je pripravljena posodobitev po zraku. Ta ukaz je neveljaven, ker napadalec nima pravilnega šifrirnega ključa. Vaš telefon bo nato poslal nazaj sporočilo o napaki, ki je podpisano s pravilnim šifrirnim ključem. Ko ima morebitni heker pravilen ključ za podpisovanje, lahko uporabi programsko opremo, da na silo vdre v ključ in ima svojo kopijo. Z uporabo tega veljavnega ključa je mogoče poslati novo sporočilo o OTA, ki ga bo vaš telefon prenesel, ker je ključ veljaven. Ta OTA je lahko aplikacija, ki pridobi vse podatke vaše kartice SIM in napadalcu omogoči, da jih klonira.
S to klonirano kopijo vaše kartice SIM se lahko nato v omrežju operaterja overijo kot vi. Sliši se zastrašujoče, kajne?
Česa ne vemo
Pri vsem tem je ena velika grda težava. Metoda šifriranja, ki jo je mogoče zlomiti, DES-56, je bila prvotno razbit leta 1998 s strani EFF. Do zdaj nihče ne bi smel uporabljati znane pokvarjene metode šifriranja. Od več kot sedmih milijard obstoječih kartic SIM je prizadetih približno 500 milijonov.
500 milijonov česar koli je veliko, a v primerjavi s 7 milijardami (z b) je to majhen delež. V vseh poročilih o tej napaki so izpuščene najpomembnejše informacije -- na koga točno lahko vpliva to izkoriščanje?
Ljudje, ki so ponovno odkrili razpoko DES-56, na čelu z Karsten Nohl, glavni znanstvenik pri varnostnih raziskovalnih laboratorijih v Berlinu, imata velik govor o izkoriščanju na konferenci Black Hat v Vegasu konec julija. Do takrat pa res nimamo podrobnosti. Več vam bomo sporočili, ko se bo kdo odločil, da nam to sporoči.
Medtem pospravite pločevinasto folijo. Vse podrobnosti bomo izvedeli čez približno teden dni.