22 июля 2013 г.
Немецкий специалист по информационной безопасности Карстен Нол (Karsten Nohl) обнаружил в SIM-картах уязвимость, которая позволяет осуществлять «взлом» мобильных телефонов, передает The New York Times.
Атака осуществляется путем отправки на телефон нескольких особым образом составленных сообщений. Аппарат принимает их за SMS от оператора и из-за этого может выдать хакеру ключ шифрования.
Располагая ключом, злоумышленник может подслушивать разговоры владельца телефона, читать его переписку и манипулировать его денежными средствами (в случае оплаты товаров или услуг с мобильного счета).
Уязвимость, по словам Нола, содержится в алгоритме шифрования DES. Он был разработан во второй половине 1970-х годов и подразумевает использование ключа длиной 56 бит.
На смену DES пришли более современные алгоритмы с длиной ключа до 256 бит, но он, несмотря на устарелость, по-прежнему применяется в некоторых SIM-картах.
По расчетам эксперта, DES или его вариации используются примерно в трех миллиардах SIM-карт, находящихся в данный момент в употреблении. Из них уязвимыми являются около 750 миллионов «симок».
Подробный отчет об уязвимости Нол намерен представить 1 августа 2013 года на конференции Black Hat, которая пройдет в Лас-Вегасе. Исследованием «дыры» эксперт занимался на протяжении двух лет.
Нол предупредил о своих находках ассоциацию GSMA. Она, в свою очередь, проинформирует о «бреши» сотовых операторов и изготовителей SIM-карт.
Карстен Нол является основателем компании Security Research Labs, занимающейся вопросами компьютерной безопасности. В 2009 году Нолу удалось «взломать» 64-битный алгоритм шифрования A5/1, использующийся в сетях GSM.