Ο Karsten Nohl, κρυπτογράφος και ερευνητής ασφαλείας στα Security Research Labs στο Βερολίνο, ανακάλυψε ένα κενό ασφαλείας που επιτρέπει σε κάποιον να αποκτήσει πρόσβαση σε κάρτες SIM με τη βοήθεια μόνο δύο... γραπτών μηνυμάτων!
Αυτό μπορεί να επιτευχθεί "μεταμφιέζοντας" ένα SMS, ώστε να φαίνεται ότι έχει αποσταλεί από έναν provider. Όπως αναφέρει ο Nohl σχετικά, σ' αυτή την περίπτωση, στο 1/4 των περιπτώσεων λαμβάνεται ένα μήνυμα σφάλματος που περιλαμβάνει τις απαραίτητες πληροφορίες για να βρεθεί το "ψηφιακό κλειδί"
της κάρτας SIM, μία ακολουθία 56 ψηφίων που η γνώση της επιτρέπει ακόμη
και την "τροποποίηση" του chip. Με τη βοήθεια αυτού του αριθμού και
ενός ακόμη γραπτού μηνύματος, κάποιος μπορεί να καταφέρει να "χακάρει" μία κάρτα SIM, ώστε να έχει ακολούθως πρόσβαση σε κλήσεις που πραγματοποιούνται, να στέλνει μηνύματα, να πραγματοποιεί online αγορές, αλλά και να "κλέβει" δεδομένα από το χρήστη της... Κι όλα αυτά με μία διαδικασία που μπορεί να κρατήσει μόλις "δύο λεπτά", χρησιμοποιώντας απλά έναν υπολογιστή.
Πρέπει να σημειώσουμε, πάντως, ότι αυτό το κενό ασφαλείας επηρεάζει μόνο SIMs που "τρέχουν" το παλαιό πρότυπο κρυπτογράφησης αρχείων (D.E.S.). Οι κάρτες με το νεότερο Triple D.E.S. δεν επηρεάζονται, ενώ και τα τρία τέταρτα των παλιών D.E.S. καρτών, σύμφωνα με τον Nohl, αναγνώρισαν το αρχικό μήνυμα ως "απάτη".
Δεν υπάρχει ακριβής εικόνα για το πόσες κάρτες SIM διατρέχουν πιθανό
κίνδυνο "έκθεσης" σε αυτό το κενό ασφαλείας, ωστόσο ο Nohl υπολογίζει
τον αριθμό τους σε έως 750 εκατομμύρια.
Ο ερευνητής έχει μοιραστεί τα αποτελέσματα της διετούς μελέτης του με το GSM Association
το οποίο έχει δώσει στη δημοσιότητα κάποιες λεπτομέρειες για το
exploit, το οποίο έχει διαβιβαστεί σε φορείς και κατασκευαστές SIM οι
οποίοι χρησιμοποιούν τη μέθοδο κρυπτογράφησης D.E.S., ενώ την 1η Αυγούστου αναμένεται να παρουσιάσει περισσότερα γι' αυτό στο επόμενο Black hat meeting στο Las Vegas.
Πηγή: www.digitallife.gr
Πηγή: www.digitallife.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου