کشف یک ضعف امنیتی در سیم‌کارت‌های قدیمی : 750 میلیون گوشی تلفن همراه در خطر هستند

به گزارش روزنامه نیویورک تایمز، یک محقق امنیت شبکه موفق به کشف یک نقطه ضعف خطرناک در شیوه رمزگذاری مورد استفاده در سیم‌کارت‌های موبایل شد است. این نقطه ضعف، به هکرها این قدرت را می‌دهد تا بتوانند از راه دور، گوشی‌ موبایل کاربران را تحت کنترل خود درآورند.

این ضعف امنیتی، در ارتباط مستقیم با DES (استاندارد رمزگذاری داده) در سیم‌کارت می‌باشد. این یک پروتکل رمزگذاری قدیمی است، که توسط بسیاری از اپراتورهای مخابراتی و تولیدکنندگان گوشی، از دور خارج شده است، اما متاسفانه هنوز توسط صدها میلیون کاربر در سراسر جهان، مورد استفاده قرار می‌گیرد.

«کارستن نول»، موسس سری آزمایشگاه‌های تحقیقاتی امنیت در کشور آلمان، متوجه این موضوع شده است که با ارسال یک پیام جعلی از طرف اپراتور مخابراتی، می‌توان به طور متوسط، کنترل 25 درصد از گوشی‌هایی که با سیم‌کارت‌های DES کار می‌کنند را با کشف نمودن رمز امنیتی 56 رقمی هر سیم‌کارت، به طور کامل بدست گرفت.

با در دست داشتن این رمز 56 رقمی، نول موفق به ارسال ویروس به گوشی همراه از طریق پیام کوتاه شد. این ویروس به وی اجازه می‌دهد تا بتواند کنترل کامل گوشی، اعم از خواندن و ارسال پیامک و حتی پرداخت اینترنتی از طریق موبایل را انجام دهد.

نول ادعا کرده که تمام این فرآیند در مدت زمان 2 دقیقه و از طریق یک کامپیوتر شخصی صورت پذیرفته است. طی دو سال اخیر وی توانسته است تا روش خود را بر روی 1000 سیم کارت در آمریکای شمالی و اروپا با موفقیت به انجام رساند. پروتکل DES در بیش از سه میلیارد سیم‌کارت در سراسر جهان مورد استفاده قرار می‌گیرد، و بنا به ادعای نول، نزدیک به 750 میلیون عدد از آن‌ها در خطر هک شدن قرار دارند.

لازم به ذکر است که بسیاری از اپراتورهای مخابراتی از نسخه‌های جدیدتر DES در سیم‌کارت‌های خود استفاده می‌کنند که همین موضوع باعث می‌شود تا کاربران آن‌ها، فعلا از دست هکرها در امان باشند.

نظر شما در این مورد چیست؟

منبع : theverge

 

750 million phones could be vulnerable in massive SIM security flaw

The New York Times reports that a security researcher has found a vulnerability in the encryption used by some mobile SIM cards that could let hackers remotely take control of a phone. The flaw relates to cards using DES (Data Encryption Standard) for encryption — it's an older standard that's being phased out by some manufacturers, but is still used by hundreds of millions of SIMs.
"Attackers could intercept your messages and make payments"
Karsten Nohl, the founder of German firm Security Research Labs, discovered that sending a fake carrier message to a phone prompted an automated response from 25 percent of DES SIMs that revealed the cards' 56-bit security key. With that key in hand, Nohl was able to send a virus to the SIM with a text message. The virus allowed him to impersonate the phone's owner, intercept text messages, and even make carrier payments. The New York Times cites Nohl as claiming that the entire operation takes "about two minutes" using a regular PC.

Over the past two years, Nohl has tested his method on around 1,000 cards across North America and Europe. DES is used in around three billion mobile SIMs worldwide, of which Nohl estimates 750 million are vulnerable to the attack. Many carriers use SIMs with the stronger triple-DES encryption method, which are not susceptible to Nohl's method, and DES in general has been phased out in favor of AES (Advanced Encryption Standard).

"Mobile companies are aware of the problem"

The flaw has been disclosed to the GSMA, an association made up of mobile operators and other companies in the field that oversees the deployment of GSM networks. The GSMA has informed SIM manufacturers and other companies involved of the situation, who are all analyzing how to best deal with the flaw. With the "responsible disclosure" taken care of, Nohl will detail his attack method at the Black Hat security conference on August 1st. He also plans to publish a "comparative list" detailing the SIM card security of each mobile carrier in December. Hopefully by then the at-risk operators will have taken the necessary steps to neutralize the vulnerability.

 

پاسخ بدهید

وارد کردن نام و ایمیل اجباری است | در سایت ثبت نام کنید یا وارد شوید و بدون وارد کردن مشخصات نظر خود را ثبت کنید *

*