Najzad uspelo hakovanje SIM kartica, milioni mobilnih telefona mogu biti hakovani za samo jedan minut
Mobilni telefoni, 22.07.2013, 08:52 AM

Više od 750 miliona mobilnih telefona korisnika širom sveta imaju SIM kartice sa kriptografskim i softverskim propustom koji ove uređaje čini podložnim špijuniranju i prevarama.
Međunarodna unija za telekomunikacije koja je specijalizovana agencija Ujedinjenih nacija, poslala je upozorenje svim mobilnim operaterima nakon što su joj predočeni dokazi o propustu koji je otkrio poznati nemački stručnjak za kriptografiju Karsten Nohl iz Security Research Labs-a.
SIM (Subscriber Identification Module) je mala plastična kartica koja se ubacuje u mobilni telefon i koja sadrži važne podatke korisnika telefona, kao što je broj telefona. Ona omogućava ažuriranja softvera za identifikaciju i prijem „over-the-air“ komandi od mobilnih operatera. SIM kartica je do sada smatrana najsigurnijim delom telefona jer je bila otporna na pokušaje hakovanja.
U svetu se u ovom trenutku koristi oko 7 milijardi SIM kartica. Da bi obezbedile privatnost i bezbednost korisnika telefona, SIM kartice koriste enkripciju kada komuniciraju sa operaterom. Međutim, istraživanje Security Research Labs-a je pokazalo da milioni SIM kartica koriste zastarelu DES enkripciju (Data Encryption Standard) koja datira iz sedamdesetih godina prošlog veka.
Da je DES zastareo i slab se zna već dugo, tako da su mnogi mobilni operateri prešli na sigurnije standarde enkrpcije.
Nohl je pronašao način da otkrije privatni ključ za sadržaj koji je kriptovan sa DES, slanjem binarnog koda putem SMS-a na mobilni telefon sa SIM karticom koja koristi DES enkripciju.
U eksperimentu, binarni kod poslat putem SMS-a bi bio odbijen jer nije propisno kriptografski potpisan, tako da nije mogao biti pokrenut na uređaju. Međutim, odbijanjem koda, SIM kartica telefona pravi krucijalnu grešku: šalje kod greške koji nosi sopstveni 56-bitni privatni ključ koji može biti dekriptovan različitim tehnikama s obzirom da je DES veoma slaba forma enkripcije. Stručnjacima Security Research Labs-a su za to bila potrebna dva minuta.
Sa privatnim DES ključem u pogrešnim rukama moguće je potpisati maliciozni softver ili ažuriranja tako da uređaj veruje da softver dolazi od legitimnog izvora i da onda dozvoli pristup osetljivim podacima. Ova ranjivost pruža brojne mogućnosti za zloupotrebu, između ostalog, slanje SMS poruka, promenu broja govorne pošte, uvid u lokaciju telefona i druge.
„Mi možemo da uradimo sve što može da uradi i korisnik telefona“, izjavio je Nohl za Rojters. „Ako imate MasterCard broj ili PayPal podatke na telefonu, imamo ih i mi. Možemo daljinski instalirati softver na mobilnom telefonu koji deluje potpuno nezavisno od telefona. Možemo vas špijunirati. Znamo vaše enkripcijske ključeve za pozive. Možemo čitati vaše poruke. I više od špijuniranja, možemo ukrasti vaše podatke sa SIM kartice, vaš mobilni identitet i promeniti vaš nalog“, objašnjava Nohl, koji se kao „etički haker“ bavi provaljivanjem u sisteme zahvaljujući ranjivostima koje otkrije i zatim svoja otkrića o tome prosleđuje kompanijama u nadi da će rešiti problem ranjvosti sistema pre nego što je otkriju i počnu zloupotrebljavati kriminalci.
Nohl je zajedno sa članovima svog tima pokušavao da hakuje SIM kartice od 2011. godine, uz pomoć OTA poruka (over-the-air) koje šalju mobilni operateri da bi promenili podešavanja telefona korisnika u svojim mrežama. Pokušaji hakovanja su bili neuspešni sve dok, kako to obično biva, propust nije otkriven slučajno, slanjem nepravilnih OTA komandi.
Nohl je obavestio nadležne o svom otkriću. On će više detalja o ovome prezentovati na hakerskoj konferenciji Black Hat koja počinje krajem jula u Las Vegasu.

Izdvojeno
Na brojnim hakerskim forumima prodaje se novi bankarski trojanac za Android

Na hakerskim forumima prodaje se novi bankarski trojanac za Android pod nazivom Nexus koji cilja 450 finansijskih aplikacija. Analitičari italijanske... Dalje
Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Project Zero, Googleov tim koji se bavi bezbednosnim istraživanjima, otkrio je ranjivosti u Samsung modemima za uređaje poput Pixel 6, Pixel 7 i Gal... Dalje
Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Dvofaktorska autentifikacija (2FA) postala je imperativ u današnjem digitalnom svetu, pošto su kriminalci naučili da kompromituju skoro svaku lozin... Dalje
Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Istraživači holandske kompanije ThreatFabric primetili su novu verziju bankovnog trojanca za Android Xenomorph, koju su njeni tvorci, Hadoken Securi... Dalje
Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Shein, kineski modni brend, ponovo se našao pod lupom, nakon što je otkriveno da stara verzija njegove mobilne aplikacije povremeno pristupa sadrža... Dalje
Pratite nas
Nagrade