To nie system jest dziurawy, a twoja karta SIM!
Tyle pisaliśmy o fragmentacji systemów operacyjnych i niechęci producentów do ich łatania. Tymczasem, jak się okazuje, nawet w idealnym świecie ich wysiłki i tak poszłyby na marne.
Tyle razy już narzekaliśmy na producentów smartfonów i operatorów komórkowych, którzy nie chcą łatać swoich urządzeń. Co z tego, że, na przykład, Google błyskawicznie zareaguje i udostępni poprawkę do swojego Androida, jak następnie aktualizacja ta i tak nie jest dostępna, bo producent danego smartfonu i / lub operator uważa, że nie opłaca jej się publikować. „Bo to stary lub tani telefon”.
Tak przynamniej twierdzi niemiecki kryptograf Karsten Nohl, który wykrył poważną usterkę w zabezpieczeniach… kart SIM. Owa luka w zabezpieczeniach powoduje, że nieważne, czy używasz iOS-a, Androida czy Windows Phone’a. I tak może cię spotkać niemiła niespodzianka przy okazji kolejnego rachunku telefonicznego.
Owa usterka pozwala bowiem na zainfekowanie wirusem samej karty SIM, przez co ta, bez wiedzy i zgody użytkownika, może wysyłać SMS-y, w tym na numery premium, a także nawiązywać połączenia z dowolnymi numerami. Tak jak w przypadku wiadomości SMS, również z numerami dodatkowo płatnymi.
Nohl nie zdradza szczegółów usterki z bardzo prostej przyczyny: nie chce pomagać cyberprzestępcom w jej odnalezieniu i wykorzystaniu. Dodał, że nie wszystkie karty SIM posiadają ową usterkę. Nie ma jednak żadnej reguły: niektóre karty mają ową wadę, inne są lepiej zabezpieczone. Stwierdził jednak, że jeżeli jego próba statystyczna tysiąca kart SIM, które przebadał, jest reprezentatywna, to zagrożonych jest setki milionów użytkowników telefonów komórkowych.
Zdaniem Nohla, żaden cyberprzestępca nie wykorzystuje tej usterki, a przynajmniej nie ma na to żadnych dowodów. Uczony szacuje, że dysponując informacjami jakie on sam opublikował, cyberprzestępcy „rozgryzą” ową usterkę za pół roku. To powinno dać operatorom dostateczną ilość czasu na usunięcie problemu.
Problemem jest dość archaiczna metoda szyfrowania danych. Nieliczni operatorzy stosują nowoczesny standard 3DES. Większość operatorów stosuje jednak szyfrowanie DES, które zostało opracowane w latach siedemdziesiątych ubiegłego wieku. – Daj mi numer telefonu, a najprawdopodobniej za kilka minut będę w stanie zdalnie kontrolować tę kartę SIM, a nawet ją sklonować. Pod warunkiem, że wykorzystuje ona DES – twierdzi Nohl. Standard DES został opracowany przez IBM i usprawniony przez… niesławną agencję NSA. By dokonać włamania, Nohl wykorzystuje język Java Card stosowany na wszystkich kartach SIM. Jest on wykorzystywany przez operatorów do zdalnego uaktualniania znajdujących się na nich informacji.
To dość przerażające informacje. Nauczyliśmy się polegać na smartfonach, ufać im. Niektórzy z nas nawet dokonują za ich pomocą płatności zbliżeniowych. Tego typu usterka, niezależna od wybranego modelu smartfonu, każe przemyśleć swoje podejście do tematu. Może i jestem paranoikiem, ale ja już odpiąłem od Portfela NFC kartę płatniczą. Wam sugeruję tę samą „paranoję”.
Zdjęcie Sim Card in a man's hand pochodzi z serwisu Shutterstock
Maciek Gajewski jest dziennikarzem, współprowadzi dział aktualności na Chip.pl, gdzie również prowadzi swojego autorskiego bloga.