Специалисты в области информационной безопасности из Security Research Labs (SRL) сообщили в своём блоге о том, что ими выявлена возможность взлома SIM-карт в сотовых телефонах. “Мы можем удаленно устанавливать программное обеспечение на телефон, которое позволит шпионить за вами, прослушивать телефонные переговоры и даже отправлять с вашего телефона SMS. Мы также можем украсть данные с вашей SIM-картs или списывать с вашего счета средства”, — рассказал изданию The New York Times руководитель SRL Карстен Нол о тех возможностях, которыми наделяет уязвимость потенциальных хакеров.

По словам Нола, взлому могут быть подвергнуты SIM-карты с устаревшей технологией шифрования, которая использует симметричный алгоритм (DES), разработанный ещё в 70-х годах. Взлом осуществляется с помощью технологии Over-the-air (OTA), которая позволяет устанавливать на телефон программное обеспечение “по воздуху”, то есть через сети сотовой и беспроводной связи. Данная технология в том числе позволяет устанавливать Java-апплеты в SIM-карту.

Атака осуществляется путем отправки на телефон нескольких особым образом составленных сообщений. Аппарат принимает их за SMS от оператора и из-за этого может выдать хакеру ключ шифрования. По расчетам эксперта, DES или его вариации используются примерно в трех миллиардах SIM-карт, находящихся в данный момент в употреблении. Из них уязвимыми являются около 750 миллионов SIM-карт. Существует несколько методов защиты от описанной выше атаки. Например, можно использовать более современные стандарты шифрования, такие как AES, или установить в телефон брандмауэр, который защитит пользователя от SMS-сообщений из неизвестных источников.

Немецкий исследователь уведомил об уязвимости глобальную ассоциацию операторов связи GSMA, которая, в свою очередь, сообщила новость производителям SIM-карт и другим заинтересованным компаниям. Нол обещает раскрыть свой способ взлома на хакерской конференции Black Hat 1 августа. Остается надеяться, что к тому времени закупавшие уязвимые SIM-карты операторы придумают, как залатать дыру.

Версия для печати (без изображений)