Эксперт: из-за "устаревших" SIM-карт хакеры могут взломать 750 млн мобильников
Найдена уязвимость в безопасности некоторых SIM-карт, дающая возможность установить сторонний контроль над мобильным телефоном, сообщает Digit.ru со ссылкой на The New York Times.
Основатель Security Research Labs Карстен Нол (Karsten Nohl) заявил, что технология шифрования, которая применяется в некоторых SIM-картах, имеет серьезную уязвимость. «Дыра» в безопасности позволяет злоумышленникам получить 56-значный цифровой ключ доступа к чипу устройства, зная который можно заразить мобильный телефон вирусом, послав его в простом текстовом сообщении.
В качестве эксперимента Карстен Нол таким способом получил управление мобильным телефоном «жертвы», и смог совершать от ее имени покупки посредством платежных систем. Вся операция заняла у «взломщика» не более двух минут, при этом использовался обычный персональный компьютер.
Прослушивать разговоры, читать переписку, скопировать всю информацию с SIM-карты, полностью украсть «цифровую личность» владельца телефона — все это можно сделать, имея в своем распоряжении упомянутый цифровой ключ. По оценке эксперта, подобного рода атакам рискуют подвергнуться порядка 750 млн устройств по всему миру.
При этом Карстен Нол не сообщил, SIM-карты каких операторов наиболее уязвимы для взлома.
В рамках своего исследования Нол анализировал SIM-карты телефонов, которые связывают устройство с номером, а также позволяют проверить на подлинность обновления ПО и команды от оператора. Для обеспечения конфиденциальности и безопасности 7 миллиардов SIM-карт, которые используются по всему миру, применяется шифрование. В рамках своего исследования Нол обнаружил, что многие SIM-карты используют стандартное шифрование 1970 года — DES (Data Encryption Standard), уточняет портал Security Lab.
Компания разработала сценарий атаки против SIM-карты, которая работает по примеру виртуальной машины Java – основное программное обеспечение для приложений Java. Используя секретный ключ SIM-карты, злоумышленник может отдать SIM-карте команду загружать Java-апплеты, которые позволят отправлять SMS, изменить номер голосовой почты, а также предоставлять информацию о местонахождении телефона».
Решение этой проблемы эксперты видят во внедрении современных методов криптографии, а также в использовании виртуальных Java-машин, которые ограничивают доступ апплетов к определенной информации.
