В SIM-картах определили опасную уязвимость

Специалистам по безопасности, работающим в компании Security Research Labs, удалось обнаружить в SIM-картах, которые используются в мобильных устройствах, достаточно опасную уязвимость. Воспользовавшись незащищенностью «симок», злоумышленники вполне способны проводить огромное количество незаконных манипуляций: перехватывать текстовые сообщения, проводить разнообразные платежи или даже копировать SIM-карты.

По словам Карстена Ноля, основателя исследовательской организации Security Research Labs, на осуществление взлома уходит буквально всего лишь пару минут (около двух), а в качестве специального оборудования применяется обыкновенный компьютер.

Уязвимость была обнаружена в алгоритме шифрования Data Encryption Standard (DES), который широко использовался (и используется до нынешнего момента) при разработке SIM-карт. Согласно результатам подсчетов Карстена Ноля, на сегодняшний день в обиходе находится примерно 3 млрд. таких идентификационных модулей, 750 млн. из которых обладают описываемой «дырой» в безопасности. В свою очередь алгоритмы Triple DES и AES (Advanced Encryption Standard) полностью избавлены от аналогичной уязвимости.

Для получения доступа к мобильному устройству потенциального пострадавшего, взломщик должен отправить ему текстовое сообщение, которое сильно напоминает SMS от компании-оператора. Мобильное устройство, в свою очередь, в автоматическом режиме отправляет уникальный ответ, в котором содержится соответствующий ключ безопасности, состоящий из 56 цифр. Такой алгоритм позволяет получить удаленный доступ к SIM-карте с проведением последующей трансформации чипа, а также заполучить контроль над мобильным аппаратом, в котором установлена данная карта.

Руководитель Security Research Labs Карстен Ноль уже проинформировал представителей GSM Association (GSMA) о своем грандиозном открытии, передают корреспонденты популярного издания The New York Times. Сотрудники ассоциации, в свой черед, довольно оперативно провели переговоры с производителями SIM-карт и другими задействованными организациями с целью разработать максимально эффективный способ разрешения сложившейся ситуации.