פרצת SIM מאפשרת חדירה לכ-750 מיליון סמארטפונים בתוך דקות
חוקר אבטחת מידע בדק ומצא כי האקר מנוסה יוכל לנצל את הפרצה, אשר מקורה בטכנולוגיית ההצפנה של הכרטיס. דרכה ניתן ליירט הודעות, להוציא שיחות ואפילו לגבות תשלומים
10:5222.07.13
חוקר אבטחת המידע הגרמני קרסטן נול מצא פרצה בכרטיסי SIM שיכולה לאפשר להאקרים להשתלט מרחוק על טלפונים סלולריים. הפרצה התגלתה ברכיבים הקשורים לטכנולוגיית ההצפנה (DES (Data Encryption Standard - טכנולוגיה מיושנת יחסית שנמצאת בשימוש מאז שנות השבעים ועדיין משמשת כבסיס לאבטחה של כשלושה מיליארד כרטיסי SIM ברחבי העולם.
כרטיס SIM צילום: שאטרסטוק
קראו עוד בכלכליסט:
- הסמארטפון הרג את המצלמה? להיפך; היא חייבת לו את חייה
- HTC One: אם איירון מן היה סמארטפון
- מי במשרד? אפליקציות אופיס לסמארטפון
נול, מייסד חברת האבטחה Security Research Labs, גילה כי משלוח הודעה מפוברקת המתחזה לפקודה מהמפעילה הסלולרית למכשיר טלפון המצויד ב-SIM מסוג זה תגרום ב-25% מהם לשליחת הודעה חוזרת, שתחשוף את מפתח ההצפנה של הכרטיס.
כרטיס SIM צילום: שאטרסטוק
בשלב הבא ניתן להשתמש במפתח כדי לשגר למכשיר וירוס באמצעות הודעת SMS, שיאפשר ליוצר הוירוס להתחזות לבעל המכשיר, ליירט הודעות טקסט ואפילו לגבות ממנו תשלומים דרך חשבון הספקית, כך פרסם אתמול הניו יורק טיימס. לטענת נול, האקר מיומן יכול לבצע את ההשתלטות באמצעות כל מחשב PC תוך שתי דקות בלבד.
הטכניקה נבדקה בשנתיים האחרונות על כ-1,000 כרטיסי SIM בצפון אמריקה ואירופה, ונול מעריך את מספר הכרטיסים החשופים להתקפה ברחבי העולם בכ-750 מיליון. כרטיסים המשתמשים בגרסה החזקה יותר של טכנולוגיית ההצפנה, טריפל DES, אינם חשופים להתקפה, וכמוהם גם כרטיסים חדשים יותר המשתמשים בטכנולוגיית ההצפנה העדכנית יותר AES.
נול העביר את תוצאות הבדיקה שלו לפורום המפעילות הסלולריות GSMA במטרה לסייע להן לסגור את הפרצה, וב-1 באוגוסט הוא מתכנן להציג אותה בפירוט בכנס ההאקרים בלאק האט בלאס וגאס. בדצמבר הוא צפוי לחשוף רשימה מפורטת שמשווה בין רמת האבטחה של כרטיסי ה-SIM אצל מפעילות סלולר שונות.
