На конференции по компьютерной безопасности Black Hat известный немецкий специалист по ИТ-безопасности Карстен Нол из компании Security Research Lab рассказал о том, что миллионы мобильных телефонов могут быть уязвимы для потенциального несанкционированного доступа из-за использования устаревшего метода шифрования, сообщает it.tut.by.
По словам Карстена Нола, выявленный баг позволяет получить доступ к сведениям о примерном местоположении, SMS-функциям, к голосовой почте и ряду других возможностей. SIM-карта привязана к сотовому оператору и играет роль ключа, позволяющего отличить одного абонента от другого.
Специалист отметил, что для того, чтобы убедиться в приватности и безопасности, SIM-карты используют шифрование во время связи с сотовым оператором, но стандарты такого шифрования у операторов различаются. Проанализировав множество SIM-карт разных операторов, группа специалистов выявила, что большая их часть использует старый стандарт шифрования DES (Data Encryption Standard). Этот стандарт считался надежным с 70-х по 2000-е годы, но сейчас он уже не относится к стойким, и если использовать определенный алгоритм взлома, то довольно просто можно получить данные с SIM-карты.
IT.TUT.BY обратился к белорусским мобильным операторам с просьбой прокомментировать ситуацию с найденной уязвимостью.
Мобильный оператор МТС отметил, что случаев взлома их SIM-карт в практике не было.
"DES – формат шифрования SIM-карт, разработанный в 1970-х годах и активно использовавшийся вплоть до 2000 года. При этом необходимо учитывать, что мобильный оператор МТС начал свою работу в середине 2002 года и с тех пор регулярно обновляет действующий парк SIM-карт", - рассказали представители оператора.
Самостоятельно абоненты по внешнему виду не смогут определить, какой стандарт шифрования используется в SIM-карте. Эту информацию абоненту не сообщат и представители мобильного оператора – стандарты шифрования SIM-карт относятся к конфиденциальным данным.
"С самого начала коммерческой эксплуатации мобильный оператор life:) использует стандарт шифрования, отличный от базового DES", - рассказал IT.TUT.BY представитель оператора life:).
По информации от IT-специалистов life:), данный стандарт не поддается взлому. Это подтверждает тот факт, что за всю историю существования оператора жалоб от абонентов на несанкционированный доступ к информации через уязвимость SIM-карт не поступало.
Все белорусские GSM-операторы заверили, что их абоненты надежно защищены от попыток обойти шифрование SIM-карт.
Отметим, что Карстен Нол посчитал, что стандарт шифрования DES используется примерно в трех миллиардах SIM-карт, а уязвимость, по данным исследователя, присутствует в каждой четвертой – то есть примерно в 750 млн. Но эту цифру Нол получил, проверив лишь 1000 карт, функционирующих в мобильных сетях Европы и США. На деле эта цифра может быть куда меньше.