`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

SIM-карты уязвимы для взлома

+22
голоса

SIM-карты уязвимы для взлома

После трех лет исследований, германский криптограф нашел способы взлома, ранее считавшейся неприступной защиты SIM-карт сотовых телефонов.

Главными проблемами, сделавшими возможным преодоление защиты, Карстен Нол (Karsten Nohl), называет неправильно сконфигурированное ПО Java Card и слабые ключи шифрования. По результатам выполненного его командой из Security Research Labs тестирования примерно тысячи SIM-карточек, всего около четверти из них поддавались взлому посредством скрытого сообщения СМС.

Принимая во внимание различия в применяемых разными странами стандартах безопасности, Нол снижает свою оценку примерно до 1/8 мировой «популяции» SIM-карт, что, тем не менее, оставляет уязвимыми до полумиллиарда мобильных устройств. «Разные партии SIM-карт или имеют дефект, или нет, — говорит он. — Все это весьма случайно».

SIM-карты, по сути своей, это миникомпьютеры с собственной ОС и предустановленными программами. За обеспечение информационной безопасности во многих из них отвечает криптографический стандарт DES, созданный IBM еще в 70-е годы прошлого столетия. Некоторые сотовые сети, включая AT&T и четырех ведущих провайдеров Германии уже перешли на более современную версию стандарта, но для остальных такая модернизация — дело будущего. Все карты, взломанные Нолом, использовали этот устаревший стандарт.

Нол считает маловероятным, чтобы киберпреступники уже нашли эту уязвимость, но теперь, когда о ней стало известно, злоумышленникам, по его оценкам, потребуется около шести месяцев, чтобы начать ее использовать. К этому времени индустрия беспроводной связи должна выработать убедительное решение проблемы.

Фальсификация платежей может обернуться особенно серьезной проблемой для стран Африки, где широко распространены системы электронных расчетов на базе SIM-карт. Обнаруженный дефект также угрожает безопасности новой бесконтактной технологии NFC, и позволяет вмешиваться в контроль мобильными провайдерами средств на счетах их клиентов.

По меньшей мере два крупных провайдера мобильной связи, отмечает Нол, уже поставили перед своими разработчиками задачу создать «заплату» для найденной им уязвимости. Созданное ими решение будет сделано доступным для других операторов через Ассоциацию GSM (GSMA).

Второй дефект, найденный немецким ученым, не имеет отношения к слабому ключу шифрования. Уязвимость кроется в недоработке защиты «песочницы» (sandbox) Java Card, вину за которую Нол возлагает на ведущих производителей SIM-карт Gemalto и Oberthur. Область памяти, выделяемая для загружаемых приложений оказалась не столь изолированной, как считалось ранее. В ответ на некорректную Java-команду, наподобие обращения к 12-му члену 10-членного списка, система «забывала» о проверке безопасности, давая созданному Нолом вирусу полный root-доступ к памяти. Это позволяло ему считывать информацию платежных приложений и мастер-ключ самой SIM-карты.

Несмотря на публичное заявление CEO Gemalto об отсутствии у их карт проблем с безопасностью мобильных платежей, Нол считает, что неправильно сконфигурированная Java Card подвергает риску любого оператора, использующего «симки» от двух ведущих производителей. В «группу риска» по его мнению входят и AT&T с Verizon, мигрировавшие на усовершенствованную криптографическую технологию 3DES. Подробности Нол планирует сообщить в своем выступлении на конференции Black Hat, которая состоится в Лас-Вегасе 31 июля.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT