Током викенда су се појавиле неке вести о експлоатацији која погађа милионе корисника телефона. Очигледно, коришћено шифровање има ману која омогућава хакеру да клонира акредитиве за шифровање СИМ (Субсцрибер Идентити Модуле) картице, потенцијално им омогућава да клонирају вашу СИМ картицу и преузму ствари као што су информације о вашем плану и плаћањима или да вас идентификују на мреже.
Звучи застрашујуће, и то је за 500 милиона погођених СИМ картица у дивљини. Али као и свако добро безбедносно уплашење вредно соли, прича има много више него што чујемо. Кликните и разговараћемо о томе мало.
Извор: Лабораторије за истраживање безбедности
Како то ради
Нападач може послати команду која много личи на команду коју ваш оператер шаље да обавести ваш телефон да је спремно ажурирање путем бежичне мреже. Ова команда је неважећа, јер нападач нема тачан кључ за шифровање. Ваш телефон ће затим послати поруку о грешци која је потписана исправним кључем за шифровање. Једном када потенцијални хакер има исправан кључ за потписивање, може користити неки софтвер да грубом силом крене кључ и има сопствену копију. Користећи овај важећи кључ, може се послати нова порука о ОТА-у, коју ће ваш телефон преузети јер је кључ важећи. Овај ОТА може бити апликација која преузима све податке ваше СИМ картице, омогућавајући нападачу да их клонира.
Са овом клонираном копијом ваше СИМ картице, они могу да се аутентификују као ви на мрежи оператера. Звучи застрашујуће, зар не?
Оно што не знамо
У свему томе постоји један велики ружан проблем. Метода шифровања која се може разбити, ДЕС-56, била је првобитно крекован 1998. од стране ЕФФ-а. До сада нико не би требало да користи познату покварену методу шифровања. Од седам милијарди плус СИМ картица које постоје, приближно 500 милиона је погођено.
500 милиона било чега је много, али у поређењу са 7 милијарди (са б) то је мали део. Сви извештаји о овој мани изостављају најважније информације – на кога тачно може утицати ова експлоатација?
Људи који су поново открили ДЕС-56 пукотину, предвођени Карстен Нохл, главни научник у лабораторији за истраживање безбедности у Берлину, држе велики говор о експлоатацији на конференцији Блацк Хат у Вегасу крајем јула. До тада, заправо немамо детаље. Обавестићемо вас више када неко одлучи да нас обавести.
У међувремену одложите лимену фолију. Све детаље ћемо знати за недељу дана.