Эх, старые-добрые SIM-карты. Хотя их используют только два из четырех крупных операторов связи в США, это практически 100-процентный способ получения беспроводного соединения на территории большей части Европы и даже некоторых частей Азии. Когда вы начинаете думать о SIM-картах, они становятся довольно удивительными. Сами по себе они бесполезны, но вместе с телефоном, они выходят на совершенно другой уровень. Конечно, большинство из вас думают, что они лишь дают нам разные номера телефонов, но в них есть кое-что большее, чем простой набор цифр.
Недавно, Карстен Нол из Security Research Labs обнаружил, что некоторые SIM-карты не так уж и безопасны и их можно «взломать» с помощью всего лишь пары SMS-сообщений в течение нескольких минут.
Газета The New York Times сообщает, что Карстен обнаружил, что при отправке SMS на SIM-карту под видом оператора, назад приходило сообщение об ошибке. Это происходило только в четверти случаев, а в большинстве случаев, обратная SMS часто содержала необходимую информацию для успешного взлома цифрового ключа SIM-карты. Как только ключ был взломан, отправлялась другая SMS, которая уже предоставляла доступ к SIM-карте, а вместе с тем и возможность прослушивать звонки, делать покупки через номер телефона и многое другое.
Карстен заявил, что это относится только к SIM-картам, которые уже немного устарели и имеют стандартное шифрование DES. Новые SIM-карты с Triple DES сразу определяют такое SMS-сообщение, как мошенническое, а не просто передают ключи к замку. В ассоциацию GSM были предоставлены некоторые данные для тестирования, которые затем были переданы операторам сотовой связи и производителям SIM-карт.
Однако Нол планирует достать кота из мешка (сделать доклад) на конференции Black Hat в самое ближайшее время. Хотя уязвимость и относится к старым SIM-картам, есть информация, что более 750 миллионов пользователей по всему миру могут быть подвержены риску. Будем надеяться, что мобильные операторы работают над решением этой проблемы и, что детали этой уязвимости не попадут в руки хакеров.
