Современные sim-карты недостаточно защищены от взлома
3007 2013
17:43

Из экспериментов Нола видно, что найденный баг угрожает безопасности всех мобильных телефонов вне зависимости от инновационных характеристик. Под угрозу попадают и навороченные смартфоны и элементарные устройства за 40 долларов. Баг получает доступ к информации о приблизительном расположении, голосовой почте, SMS-функциям и перечню других ресурсов. По мнению специалиста, опасность заключена в SIM-картах, используемых во GSM- и СDMA- телефонах. Привязка SIM к определенному оператору- и есть ключ, позволяющий идентифицировать абонента. По приблизительным данным, в мире на данный момент функционируют более 7 миллиардов SIM-карт.
Для целей безопасности и приватности в современных SIM используется шифрование в момент связи с оператором, но единых стандартов шифрования у операторов нет. Проанализировав достаточное количество SIM различных сотовиков, специалисты выявили, что у большинства используется DES, устаревший способ шифрования Data Encryption Standard. С 2000 года его нельзя отнести к стойким алгоритмам, достаточно защищенных от взлома. Радует, что некоторые сотовые операторы уже переходят на более защищенные алгоритмы.
В ходе эксперимента специалисты SRL проводили отправку SMS сообщений с двоичным кодом через SIM-картой, работающую через DES. Код был без подписи и не исполнялся на устройстве, в тоже время вместе с отказом исполнения устройство возвращало код ошибки, зашифрованный 56-битным ключом. В силу ненадежности DES, коротких 56-битных ключей взлом криптографической защиты не составил труда.
Обычный ПК с современной аппаратной составляющей способом перебора хэшей можно взломать за 2 минуты. С помощью ключа злоумышленники могут подписывать вредоносные команды и осуществлять из отправку от лица оператора. По данным компании, временами у SIM-инструкций присутствует доступ к Java-приложениям ряда моделей телефонов и это влияет на программный уровень сотового устройства.
Исчерпывающая демонстрация взлома доступа будет проведена на Black Hat (Лас-Вегас) 31 июля.