Notícias

750 milhões de telefones vulneráveis por insegurança do SIM

16 Comentários

Está a ser reportada uma enorme falha de segurança agora nos cartões SIM. Segundo o jornal The New York Times, investigadores de segurança descobriram uma vulnerabilidade na encriptação dos cartões SIM, que permitem aos hackers terem acesso remoto a um telefone.

A falha de segurança é relativa aos cartões SIM que usam a tecnologia de encriptação DES (Data Encryption Standard), que, embora seja um standard antigo e já em fase de substituição por parte dos fabricantes, ainda é usado por milhões de cartões destes.


Karsten Nohl, o fundador da empresa de segurança alemã, Security Research Labs, descobriu que se enviasse uma SMS falsa a solicitar uma mensagem automática, 25% dos cartões DES revelavam a sua chave de segurança de 56 bits. Com essa chave nas mãos, Nohl tem a capacidade de enviar um vírus ao SIM com uma mensagem de texto.

O vírus permitiu fazer-se passar pelo proprietário do telefone, interceptar mensagens de texto e até fazer pagamentos. O The New York Times cita Nohl para afirmar que toda a operação necessita “cerca de dois minutos” e a utilização de um simples PC.

A falha permite ao hacker fazer pagamentos passando-se pelo proprietário do telefone

Ao longo dos últimos dois anos, Nohl testou o seu método em cerca de 1.000 cartões em toda a América do Norte e Europa. O DES é utilizado em cerca de três mil milhões de SIM’s móveis em todo o mundo, dos quais Nohl estima que 750 milhões são vulneráveis ​​ao ataque.

Muitas operadoras usam já um método mais forte de criptografia, o triple-DES, tecnologia que não sofre da vulnerabilidade que permite o método de Nohl. O DES, em geral, já foi descontinuado em favor da AES (Advanced Encryption Standard).

A falha foi divulgada ao GSMA, uma associação composta pelas operadoras de telefones móveis e outras empresas da área que supervisionam e implementam tecnologias nas redes GSM. A GSMA informou os fabricantes dos SIM e outras empresas directas e indirectamente envolvidas nesta situação, que devem analisar bem a situação para tomarem medidas e determinar como conseguir lidar com a falha.

Tendo feito o seu papel ao alertar a comunidade para este problema, Nohl pretende detalhar o seu método de ataque na conferência de segurança Black Hat, já no próximo dia 1 de Agosto. Planeia ainda publicar no final do ano, no mês de Dezembro, uma “lista comparativa” detalhando os níveis de segurança dos cartões SIM de cada operadora de telemóveis.

Com este nível de informação e com todo o detalhe que será mostrado, está nas mãos das operadoras a segurança dos seus clientes, como responsáveis pelos cartões SIM distribuídos.

Via | The Verge

PUB
Autor: Vítor M.
Partilhar:
Tags:
cartões Karsten Nohl Mobile Segurança Sim sms Telemoveis

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Linux Mint com KDE e xFCE já estão disponíveis
Artigo anterior

Linux Mint com KDE e xFCE já estão disponíveis
Sony prepara uma objectiva que se monta nos smartphones
Próximo artigo

Sony prepara uma objectiva que se monta nos smartphones
PUB

Comentários

16

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de honey
    honey

    não sera ao contrario , o telemóvel para ter este problema não ter de ser modificado, os hakers e piratas não terão a informar o contrario para não serem descobertos

    Responder
  2. Avatar de Valente
    Valente

    Não há distinção entre o SIM e o USIM ou ambos sofrem da mesma vulnerabilidade?

    Responder
  3. Avatar de la_marca
    la_marca

    quais hackers? os da NSA ou os outros?

    Responder
    1. Avatar de Pedro Silva
      Pedro Silva

      A questão aqui é mesmo essa…

      Responder
    2. Avatar de honey
      honey

      como é que agente não sabe que não és tu nsa

      Responder
  4. Avatar de JMCS
    JMCS

    Já agora era informação saber em que ano é que o Triplo-DES passou a ser usado e quando é que o DES em geral deixou de ser usado. O meu SIM é do ano 2000…

    Responder
  5. Avatar de sakura
    sakura

    o Vítor M pls não reporte + bus até 31 é que quero ir de ferias ty.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Bus? Fica tranquilo, até não me lembro de publicar os horários dos autocarros.

      Vai lá de férias descansado.

      Responder
  6. Avatar de Emannxx
    Emannxx

    E não há forma de saber se o nosso cartão é DES ou triple-DES?

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Se for actual penso que não há possibilidade de ser DES.

      Responder
  7. Avatar de Diogo R.
    Diogo R.

    Não percebo como eles leem o chip no pc

    E a mensagem automatica é a mesma para todas as operadoras? As operadores portuguesas estão afetadas por isto?

    Responder
  8. Avatar de 4knahs
    4knahs

    Mas o SIM já é vuneravel a ataques desde ha muito tempo… pode ser atraves de tecnicas diferentes mas não é nenhuma novidade. E se não se mudou até agora, é porque convém.

    Responder
  9. Avatar de Filipe YaBa Polido
    Filipe YaBa Polido

    Já se faziam clones de SIM à muitos anos, mas era necessário acesso físico ao cartão durante umas horitas.

    Responder
    1. Avatar de 4knahs
      4knahs

      Posso estar enganado mas tenho quase a certeza que ja era possivel mesmo sem acesso directo, com hardware especifico q simulava uma rede movel. Umas 8horas discontinuas creio que era suficiente mas tinha q pesquisar.

      Responder
      1. Avatar de Filipe YaBa Polido
        Filipe YaBa Polido

        USRP + OpenBTS, etc, etc…

        Responder
  10. Avatar de Roy
    Roy

    Estou ainda mais preocupado com o facto de muitos operadores desligarem a encriptação de rede nas novas redes… para ser mais rápido. E mesmo quando ligam a encriptação a mesma não ser lá muito segura, parece-me que “oferece” 64 bits de protecção, quando já deveria ser pelo menos 80 bits para oferecer protecção realista. Já para não falar que não encriptam/ autenticam do telemóvel até ao centro de dados, é só do telemóvel à estação mais próxima, e depois vai como calhar (ADSL, fibra ótica, micro-ondas, satélite…) se alguém colocar algum dispositivo de intercepção aí, vão apanhar tudo… ou colocar uma estação base falsa…

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.