SIM kartice nisu bezbedne 750000000 kartica u opasnosti


23. јула 2013. Facebook Twitter LinkedIn Google+ Hardver,It



Današnji pametni telefoni su podložni malicioznom kodu I gotovo bez problema su podložni NSA(US National Security Agency) špijuniranju. Medjutim postojalo je verovanje da je postojao deo telefona koji je u potpunosti bezebedan od špijuniranja i krakerskih napada a to je SIM kartica vašeg telefona. Na žalost nakon trogodišnjeg istrživanja nemački kriptograf Karsten Nohl je pronašao enkripciju (šifrovanje koda) i softverske propuste u SIM karticama koje mogu ugroziti više stotina miliona telefonskih kartica.

Ovaj nemački istraživač koji će predstaviti svoja istrživanja na Black Hat Security konferneciji u Las Vegasu 31 Jula, kaze da se odlučio na ovakav tip istraživanja nakon testiranja 1000 SIM kartica na sigurnost metodom slanja skrivenih SMS poruki. On kaže da je na ovom testiranju prikazana višestruka slabost SIM kartica bazirana na starim sigurnosnim standardima I loše konfigurisanom kodu. Ove slabosti omogućavaju krakerima da šalju skrivene premium tekst poruke (slično servisima plaćanja putem poruka kod nas), vrše tajna preusmeravanja i snimanja poziva a pravom kombinacijom bagova i propusta mogu ugroziti i sistem plaćanja baziran na SIM karticama. Ovaj problem bi pogotovo mogao velike problem da izazove u Africi gde je sistem plaćanja baziran na SIM tehnologiji prilični zastupljen. Zanimljivo je I to što je čak ugrožen NFC sistem plaćanja koji je relativno nov .

SIM kartice su zapravo mini računari sa svojim operativnim sistemima i instaliranim softverom. Većina kompanija koja se bavi Pravljenjem SIM kartica bazira njihovu bezbednost na kpriptografskom (kriptografija nauka o šifrovanju – laički rečeno) standard zvanom DES(digital encryption standard ) razvijen od strane IBM-a davne 1970 a usavršen od strane NSA . Doduše manji broj kompanija kao što su AT&T I nekoliko manjih nemačkih kompanija su prešle na novije sigurnosne standatde medjutim ostali se i dalje drže ovog softverskog recepta koji u sebi nosi bagove i propsuste.
sim

Ključ napada je Java Card, opšti programski jezik primenjen na oko šest miliona SIM kartica. Recimo kad vaš operater želi nešto da iskonfiguriše na vašoj SIM kartici on vam šalje binarnu SMS poruku koju vi niste u stanju da vidite a koja će pomocu Java Card programa koji se nalazi u vašj kartici izvršiti željene kofiguracije vaše kartice od strane operatera. Ovaj vid podešavanja kartica naziva se over-the-air programming ili OTA programiranje.

Nohl njegov tim su testirajući ovaj OTA protokol i slali instrukcije ovim načinom nekolicini katica, neke su uspešno odbile zahteve registrujući pogrešan sigurnosni potpis , medjutim neke od njih su prilikom prijema zahteva ispisale sigurnosni potpis u svojoj poruci o grešci. Koristeći ove informacije i dobro poznatu krpiptograksu metodu zvanu rainbow tables, Nohl je u mogućnosti da otkrije kriptografski ključ na SIM kartici i to za oko min vremena.

Svako ko provali pomenuti ključ biće u prilican da instalira koju god aplikaciju želi na SIM kartici, uključujuci i maliciozni kod. Nohl dalje govori da se daljim zloupotrebama navedenih slabosti može kod novijih telefona i tablet koji omogućavaju plaćanja putem VISA kartica izvrsiti kradja tih platnih dokumenata, kao da je su ostale mogućnosti zlopuptrebe samo uslovljene maštom krakera.

Komentara