Звіт: Масовий злом SIM-карт не зачіпає більшість власників телефонів у США

Раніше на цьому тижні Карстен Нол, дослідник безпеки з SR Labs, повідомив про своє відкриття величезної діри в шифруванні SIM-карт, яка може зробити 750 мільйонів з 7 мільярдів пристроїв з SIM-картами в світі вразливими до атак. Це не просто звичайні хакерські витівки – якщо SIM-карта вашого телефону скомпрометована, це телефонний еквівалент крадіжки особистих даних. Зловмисник може завдати великої шкоди.

SIM-карта – або модуль ідентифікації абонента – повідомляє оператору бездротового зв’язку, хто ви є і що вам можна довіряти. Хакери, які використовують вашу SIM-карту, можуть отримати доступ до вашого облікового запису оператора бездротового зв’язку, деяких текстів і контактів, а також до вашої мережевої ідентифікаційної інформації. Використовуючи цю інформацію, вони можуть змінити ваш обліковий запис оператора, перенаправити ваші телефонні дзвінки, клонувати ваш номер телефону на інший телефон, викрасти ваші платіжні дані (включаючи деякі платіжні додатки NFC), змінити голосову пошту, надсилати тексти від вашого імені та отримати ваше точне місцезнаходження шляхом пінгування вашого оператора, серед іншого. Перелік мерзенних дій, можливих з доступом до SIM-картки, дуже великий, а зламати ваш телефон майже так само просто, як і відправити текстове повідомлення.

Користувачі AT&T, Sprint, T-Mobile і Verizon в безпеці

На щастя, ви можете не турбуватися. Незважаючи на багато неясних і страшних повідомлень, якщо ви живете в Сполучених Штатах, ваша SIM-карта (та маленька картка, яка зазвичай знаходиться під акумулятором вашого телефону), ймовірно, не знаходиться під загрозою злому.

Представники всіх чотирьох основних операторів бездротового зв’язку в США – AT&T, Sprint, T-Mobile і Verizon – підтвердили Digital Trends, що вони не використовують старі 56-розрядні SIM-карти DES (Data Encryption Standard), які є вразливими до експлойту Нола. Цей застарілий стандарт 1977 року все ще використовується в деяких регіонах по всьому світу і є набагато менш безпечним, ніж новіші стандарти 1998 року, такі як AES (Advanced Encryption Standard) і Triple DES. Це означає, що переважна більшість абонентів у Сполучених Штатах знаходяться в безпеці. Більшість менших операторів, таких як Virgin, Boost, Ting та інші, залежать від мереж великих операторів, що робить їх також захищеними від цієї атаки.

Якщо у вас є телефон, якому вже майже сім років, йдіть і купіть новий. В іншому випадку ви в безпеці.

Sprint і Verizon, які взагалі не використовували SIM-карти, поки не почали розгортати високошвидкісні мережі 4G LTE, повідомили нам, що “100 відсотків” їхніх SIM-карт використовують новіші, безпечніші стандарти шифрування.

“SIM-карти Verizon не є вразливими до цієї потенційної атаки через те, як вони розроблені та виготовлені”, – сказав представник Verizon. “Ми дуже серйозно ставимося до конфіденційності та безпеки наших клієнтів і будемо продовжувати працювати з нашими постачальниками SIM-карт, галузевими групами та іншими організаціями, щоб запобігти і запобігти будь-яким проблемам безпеки”.

AT&T і T-Mobile в минулому використовували вразливий стандарт DES, але вже багато років використовують потрійний DES. Представники AT&T заявили, що не використовували стандарт, який можна зламати, “майже десять років”. T-Mobile не використовує його “щонайменше сім років”. Якщо у вас є телефон, якому вже близько семи років, йдіть і купіть новий. В іншому випадку ви в безпеці. Представники T-Mobile також підтвердили нам, що абоненти Metro PCS також у безпеці.

Ще один привід не хвилюватися

Але що робити, якщо ви не користуєтесь послугами одного з великих американських операторів або меншого провайдера, який використовує одну з їхніх мереж? Чи варто хвилюватися? Нол каже, що всі повинні зберігати спокій.

“На даний момент немає причин для занепокоєння, оскільки злочинцям, ймовірно, знадобляться місяці, щоб повторно впровадити результати дослідження”, – розповідає Нол в інтерв’ю Digital Trends. “Якщо до того часу, коли вони це зроблять, мережі не впровадять захист мережі або не оновлять свої SIM-карти віддалено, можливо, прийшов час попросити нову SIM-карту”. Він додає, що “до зловживань, ймовірно, ще кілька місяців”, і що SR Labs поділилася результатами “кілька місяців тому і з тих пір вела дуже конструктивний діалог з операторами”.

Команда Нола витратила три роки і протестувала понад 1000 SIM-карт, щоб виявити помилку. Більш детально про вразливість Нол розповість на конференції з безпеки BlackHat 1 серпня 2013 року.

Що робити, якщо ви все ще турбуєтесь

Якщо ви не живете в Сполучених Штатах або не знаєте статусу вашого оператора, найкращим варіантом буде зателефонувати своєму мобільному оператору і запитати.

“Звернення до постачальника послуг за додатковою інформацією на даний момент є найкращим варіантом”, – сказав Роель Шувенберг, старший дослідник безпеки в “Лабораторії Касперського”. “Сподіваємося, що вони будуть діяти швидко і незабаром нададуть більше інформації на своїх веб-сайтах”.

“Ця новина повинна послужити тривожним дзвінком для будь-яких постачальників послуг, які все ще використовують застарілі технології, – додає Шувенберг, – а також підкреслити важливість просування нових розробок в області безпеки, коли це можливо”.

Шувенберг зазначає, що не існує швидкого виправлення цієї вразливості SIM-карт, якщо вона у вас є. Телефони, на які впливає вразливість SIM-карт (наприклад, старі розкладні телефони), не мають доступу до будь-якого програмного забезпечення, яке могло б допомогти запобігти атакам. Але якщо ви перебуваєте в Сполучених Штатах, ви, швидше за все, в безпеці. Якщо ні, у вас є кілька місяців, щоб перейти на більш сучасний оператор.

Оновлено 7-25-2013 Джеффрі Ван Кемпом: Ми можемо підтвердити, що Metro PCS також використовує Triple DES, тому користувачі цієї служби, яка зараз належить T-Mobile, захищені від цієї уразливості.

Стаття в оригіналі опублікована 24.07.2013.

Рекомендації редакції

• Топ-9 Instagram: як побачити свої 9 найкращих фотографій 2022 року
• Щойно придбали новий iPhone? Ось 12 порад та підказок, як його освоїти
• Що таке Amazon Music: все, що потрібно знати
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Як скасувати репости в TikTok (і навіщо це робити)

Source: digitaltrends.com