SIM-карты используют методы криптографии 1970-х годов

image

Теги: SIM-карта, телефон, криптография, SMS

Таким образом, злоумышленник может с легкостью обойти защиту карты и получить доступ к конфиденциальной информации пользователя.

Миллионы мобильных телефонов могут быть уязвимы к шпионскому ПО в связи с использованием устаревших методов криптографии. Таковы результаты исследования, которые будут представлены на конференции по вопросам информационной безопасности The Black Hat.

Эксперт в области криптографии Карстен Нол (Karsten Nohl) из Security Research Labs нашел способ обманным путем получить доступ к информации о местоположении устройства и SMS-функциям. Более того, эксперту также удалось изменить номер голосовой почты.

В рамках своего исследования Нол анализировал SIM-карты телефонов, которые связывают устройство с номером, а также позволяют проверить на подлинность обновления ПО и команды от оператора.

Для обеспечения конфиденциальности и безопасности 7 миллиардов SIM-карт, которые используются по всему миру, применяется шифрование. В рамках своего исследования Нол обнаружил, что многие SIM-карты используют стандартное шифрование 1970 года - DES (Data Encryption Standard).

Для определения уровня безопасности DES, эксперты отправили двоичный код через SMS на устройство, которое привязано к SIM-карте, защищенной DES. Так как двоичный код не был должным образом криптографически подписан, он не сработал на телефоне. Однако, отвергнув код, SIM-карта телефона совершила ошибку: она отправлила назад SMS с кодом ошибки, содержащее 56-битный зашифрованный секретный ключ, который можно взломать, используя распространенные хакерские методы. Security Research Labs удалось взломать секретный ключ за две минуты на обычном компьютере при помощи радужной таблицы. 

Секретный ключ открывает возможность отправки вредоносных обновлений на мобильное устройство. При этом телефон будет считать, что программы поставляются из законного источника, и откроет доступ к конфиденциальным данным.

Компания разработала сценарий атаки против SIM-карты, которая работает по примеру виртуальной машины Java – основное программное обеспечение для приложений Java.

Используя секретный ключ SIM-карты, злоумышленник может отдать SIM-карте команду загружать Java-апплеты, которые позволят отправлять SMS, изменить номер голосовой почты, а также предоставлять информацию о местонахождении телефона».

Решение этой проблемы эксперты видят во внедрении современных методов криптографии, а также в использовании виртуальных Java-машин, которые ограничивают доступ апплетов к определенной информации.


или введите имя

CAPTCHA
Страницы: 1  2  
Rusty Cleaver
22-07-2013 11:00:15
сейчас повсеместно используется 3DES, а не DES. Урон от этих атак мизерный, совсем не сопоставимый со стоимостью OTA платформы, которая поддерживает 3DES, AES и всякие проверки и контрольные суммы для OTA. Это проблема не шифрования, а жадности операторов. Ну, работает и работает.
0 |
Rusty Cleaver
22-07-2013 11:01:54
Да, плюс не забывайте о производительности SIM-карт, это вам не quad core
0 |
bladegts
22-07-2013 12:24:53
а ниче что оператор вдовесок должен шифровать сами каналы передачи данных випнетами, а что он делает??---ничего из этого
0 |
Евгений
22-07-2013 13:25:02
Реквестирую подробностей. Как называются функции сим-карты, которые позволяют по команде ОПСОСа грузить на телефон какой - то код? Какие слова гуглить, какой стандарт читать?
0 |
z
23-07-2013 02:19:14
читай всё связанное с OTA - On-The-Air
0 |
99028
23-07-2013 06:50:34
Спалился ламерок
0 |
z
23-07-2013 02:34:34
блин, точнее Over-The-Air
0 |
TorvaldS
24-07-2013 05:26:15
переходите на спутниковые телефоны или на скайп, за IP-телефонией будущее, а ваши GSM симки уже прошлое
0 |
ScayderX
29-07-2013 10:31:59
ip на стандарте общего списка телефонов не работает. + прим. простой телефон.!
0 |
Страницы: 1  2