Hlavní navigace

SIM karty (opět) hacknuty. V ohrožení může být až půl miliardy telefonů

Daniel Dočekal 22. 7. 2013

Karsten Nohl se vrací a znovu přichází s prolomením šifrování SIM karet a možností vzdáleného ovládnutí mobilního telefonu. Hacknutelná by mohla být zhruba osmina všech SIM karet.

Karsten Nohl, německý výzkumník, se postaral o rozruch okolo SIM karet již několikrát. V roce 2009 (viz Co s prolomeným GSM?). O pár let později (viz Zranitelnost GSM se týká 80 procent mobilů celosvětově) opět. Nyní Nohl přišel s novým způsobem, jak prolomit šifrování. Chystá se ho předvést na bezpečnostni konferenci Black Hat security v Las Vegas.

Besides SIM cards’ main purpose of identifying subscribers, most of them provide programmable Java runtimes. Based on this flexibility, SIM cards are poised to become an easily extensible trust anchor for otherwise untrusted smartphones, embedded devices, and cars.

The protection pretense of SIM cards is based on the understanding that they have never been exploited. This talk ends this myth of unbreakable SIM cards and illustrates that the cards – like any other computing system – are plagued by implementation and configuration bugs.

Hack SIM karet podle Nohla spočívá ve využití starého bezpečnostního standardu v kombinaci se špatně konfigurovaným kódem. Dovolí útočníkům vzdáleně infikovat SIM kartu „virem“, který umožní posílat prémiové SMS, přesměrovat a nahrávat mobilní hovory a v některých případech i zneužívat telefon pro platební podvody,  což podle Nohla znamená i vysoké riziko pro NFC platby.

Nohl tvrdí, že hacknutelná je zhruba čtvrtina testovaných karet. Některé karty chyby umožňující hacknutí neobsahují. V praxi by to podle Nohla mohlo znamenat, že zhruba osmina všech SIM karet je hacknutelná. Což v řeči čísel představuje zhruba půl miliardy telefonů.

WT100

New York Times zmiňuje, že díky chybě může útočník získat digitální klíč SIM karty, 56 bitovou sekvenci, který umožňuje SIM kartu modifikovat. Pak už je jednoduché na SIM kartu nahrát vlastní kód v Javě – to vše prostřednictvím SMS. Informace o chybě, kterou Nohl ověřoval dva roky, byla předána GSM Assocation (GSMA). A podle Nohla by už někteří z operátorů měli pracovat na opravě.

Podle GSMA je ale nebezpečí minimální a týká se pouze malého množství telefonů, které používají starší standardy. Podle Nohla by GSMA a operátoři měli zajistit výměnu starších karet, zejména pokud jsou staré tři a více let. 

Našli jste v článku chybu?
Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup