Under helgen kom en del nyheter om ett utnyttjande som påverkar miljontals telefonanvändare. Tydligen har krypteringen som används ett fel som gör att en hackare kan klona krypteringsuppgifterna för ett SIM-kort (Subscriber Identity Module), potentiellt tillåta dem att klona ditt SIM-kort och hämta saker som information om din plan och betalningar, eller identifiera dig på nätverk.
Det låter läskigt, och det är för de 500 miljoner drabbade SIM-korten i det vilda. Men som vilken bra säkerhetsskräm som helst som är värd sitt salt, finns det mycket mer i historien än vi hör. Klicka dig vidare så pratar vi om det lite.
Källa: Säkerhetsforskningslabb
Hur det fungerar
En angripare kan skicka ett kommando som liknar det kommando som din operatör skickar för att meddela din telefon att det finns en uppdatering klar. Detta kommando är ogiltigt eftersom angriparen inte har rätt krypteringsnyckel. Din telefon skickar sedan tillbaka ett felmeddelande som är signerat med rätt krypteringsnyckel. När den potentiella hackaren har rätt signeringsnyckel kan de använda någon programvara för att brute-force knäcka nyckeln och få en egen kopia. Med denna giltiga nyckel kan ett nytt meddelande skickas om en OTA, som din telefon kommer att ladda ner eftersom nyckeln är giltig. Denna OTA kan vara ett program som hämtar alla dina SIM-kortdata, vilket gör att angriparen kan klona den.
Med denna klonade kopia av ditt SIM-kort kan de sedan autentisera sig som dig på operatörens nätverk. Låter skrämmande, eller hur?
Vad vi inte vet
Det finns ett stort fult problem med allt detta. Krypteringsmetoden som kan brytas, DES-56, var ursprungligen knäckt 1998 av EFF. Vid det här laget borde ingen använda en känd trasig krypteringsmetod. Av de över sju miljarder SIM-kort som finns är cirka 500 miljoner berörda.
500 miljoner av vad som helst är mycket, men jämfört med 7 miljarder (med ett b) är det en liten del. Rapporterna om detta fel utelämnar alla den viktigaste informationen - vem kan egentligen påverkas av denna exploatering?
Människorna som återupptäckte DES-56-sprickan, ledda av Karsten Nohl, chefsforskare vid Security Research Labs i Berlin, håller ett stort tal om exploateringen vid Black Hat-konferensen i Vegas i slutet av juli. Tills dess har vi inte riktigt detaljerna. Vi meddelar dig mer när någon bestämmer sig för att meddela oss.
Under tiden lägger du bort folien. Vi får veta alla detaljer om ungefär en vecka.