Три четверти миллиарда телефонов уязвимы
… из-за дефекта в подсистеме безопасности СИМ-карт.
«Нью-Йорк таймс» сообщила, что исследователи вопросов безопасности из немецкой фирмы Security Research Labs обнаружили уязвимость в шифровании, к которому прибегают некоторые мобильные СИМ-карты. Эксплойт позволяет злоумышленнику взять дистанционный контроль над телефоном. Проблема имеет отношение к СИМ-картам, использующим стандарт шифрования данных DES (Data Encryption Standard), уже устаревший (разработан в 1970-х годах) и изымающийся, но всё еще применяемый в сотнях миллионов идентификационных модулей абонента.
Эксперты выяснили, что отправка поддельного операторского сообщения вынуждает 25% СИМ-карт с DES-шифрованием автоматически реагировать, раскрывая собственный 56-разрядный ключ безопасности. С этим ключом легко выслать на телефон вирусное текстовое сообщение. Зловредный код позволяет подменить владельца мобильника с последующими прослушиванием разговоров и перехватом СМС, и даже осуществлением операторских платежей. Утверждается, что на всё про всё хакеру достаточно пару минут и обычного персонального компьютера.
За последние два года исследователи опробовали обнаруженную методику на тысяче СИМ-карт в США и Европе, в итоге подсчитав, что 750 млн из почти 3 млрд мобильников (которые опираются на DES-алгоритмы, а всего в мире насчитывается где-то 6 млрд телефонов) подвержены атаке. Многие сотовые операторы пользуются более надежным тройным DES-шифрование, притом что куда более правильным ставится переход на улучшенный стандарт шифрования AES (Advanced Encryption Standard).
Об этой уязвимости уведомлена отраслевая организация GSM Association, объединяющая GSM-операторов производителей мобильных устройств. Она в свою очередь проинформировала вендоров СИМ-карт (крупнейшие — Gemalto и Giesecke & Devrient) и другие компании, вовлеченные в ситуацию, дабы вместе выработать приемлемое решение вопроса.
Тем временем на конференции Black Hat, которая пройдет в Лас-Вегасе с 27 июля по 1 августа, будет подробно рассказано об искомом эксплойте. А в декабре будет выпущен сравнительный список, детализирующий безопасность СИМ-карт ведущих операторов.
© СОТОВИК