http://78.131.57.228/13-iq100/3545-konnyen-feltorhetok-a-sim-kartyak#sigProId96f662b31a
Több százmillió SIM-kártya forog közkézen egy olyan sebezhetőséggel, amelynek révén mindössze két perc alatt feltörhető a titkosítás, lehallgathatóvá téve a mobiltelefonokat.
Karsten Nohl, a berlini Security Research Labs alapítója, a hét elején tette közzé bejegyzését, amelyben leírja, miként törhető fel a széles körben alkalmazott SIM-kártyák egy része. Bár a jelenleg használt kártyák csak egy töredéke lehet érintett a sebezhetőségben, ez is több százmillió példányt jelent.
A biztonsági szakértő úgynevezett "over-the-air" (OTA) frissítésekkel érte el a sebezhetőség kiaknázását, amely gyakorlatilag néhány egyszerű szöveges üzenet elküldését jelenti. Ezen üzeneteket megfelelő módon álcázva azt a benyomást kelthetjük, mintha a küldő fél a kártya szolgáltatója, a cél pedig a szóban forgó példány szoftveres frissítése lenne, ám valójában a még mindig rengeteg kártyán alkalmazott DES-titkosítás feltörése történik, alig 2 perc alatt. Ezt követően a támadó megszerezheti a digitális kulcsot, majd egy újabb üzenettel megnyitja azt, ami lehetővé teszi számára a beszélgetések lehallgatását, üzenetek elküldését, a készüléken tárolt adatok eltulajdonítását, illetve mobilfizetések kezdeményezését.
A rés csak azon SIM-kártyákat érinti, amelyek még mindig a hetvenes évekből származó DES-titkosításra támaszkodnak, vagyis a 3DES, illetve az AES megfelelő védelmet jelent ezzel szemben. A DES esetében is nagyjából csak az esetek egynegyedében megy végbe a fenti folyamat, ám Nohl becslése szerint még így is mintegy 750 millió SIM-kártya eshet áldozatul egy ilyen támadásnak. A szakértő ezen kártyák lecserélését, az SMS-ek ellen védő tűzfal alkalmazását, illetve az üzenetek hálózaton belüli szűrését javasolja megelőzésként.
A GSM Association már megkapta a fontosabb információkat, ezeket onnan a szolgáltatók és SIM-gyártók részére továbbították. A szakértő a teljes eljárás ismertetését tervezi, amelyre a következő Black Hat találkozó alatt kerítene sort.
Forrás: sg.hu Kattintson ide...