750 млн SIM-карт по всему миру имеют опасную уязвимость

Новости

Эксперты компании Security Research Labs, специализирующейся на информационной безопасности, рассказали о найденной уязвимости в устаревших криптографических шрифтах, которые до сих пор используются в более чем 750 миллионах SIM-карт по всему миру.

Уязвимость SIM-картДанную уязвимость обнаружил специалист-криптограф Карстен Ноль. В своем исследовании он анализировал взаимодействие SIM-карты с материнским устройством, позволяющее определять подлинность устанавливаемых программных пакетов, определять местоположение пользователя и т.д. В результате, Ноль выявил, что около 3 миллиардов действующих SIM-карт применяют алгоритм шифрования DESData Encryption Standart, разработанный специалистами IBM еще в 70-х годах прошлого века. По мнению эксперта, не менее 750 миллионов таких «симок» имеют обнаруженную им уязвимость.

Уязвимость SIM-карт

В ходу своего эксперимента, Карстен Ноль отправлял на телефон предполагаемой жертвы двоичный исполняемый код. Не исполнив полученный код, SIM-карта вернула СМС с кодом возникшей при этом ошибки, в котором и содержится секретный ключ, позволяющий в дальнейшем отправлять на устройство любое вредоносное ПО под видом «родных» настроек от оператора, например. Взлом данного секретного ключа занял у эксперта не более двух минут и не потребовал использования специального оборудования или программного обеспечения. Используя более-менее современный компьютер, взломать такой ключ сможет даже школьник — максимальное количество комбинаций составляет всего 2 в 56-й степени. Еще в 1998 году специалистам из Electronic Fontier Foundation удалось взломать шифр DES за три дня, используя всего один компьютер.
Уязвимость SIM-карт

Карстен Ноль поставил GSM Association в известность о найденной уязвимости, которая может иметь довольно серьезные последствия — DES, к примеру, используется также в стандартах обработки и эмиссии кредитных карт Visa. Возможно, открытие Ноля ускорит давно ожидаемый переход на стандарт AES (Advanced Encryption Standart), состоящий из 128-битных блоков.

Смотрите также: