Um especialista em segurança móvel alemão diz ter encontrado uma falha na tecnologia de criptografia usado em alguns cartões SIM, os chips de aparelhos, que poderia permitir que os criminosos cibernéticos para assumir o controle de telefone de uma pessoa.
Karsten Nohl, fundador da Security Labs Research, em Berlim, disse que o buraco criptografia permitido fora para obter a chave digital de um cartão SIM, uma seqüência de 56 dígitos que abre o chip até a modificação. Com a chave na mão, Mr. Nohl disse, ele foi capaz de enviar um vírus para o cartão SIM por meio de uma mensagem de texto, que deixá-lo escutar um interlocutor, fazer compras através de sistemas de pagamento móvel e até mesmo se passar por proprietário do telefone.
Ele disse que tinha conseguido toda a operação em cerca de dois minutos, utilizando um computador pessoal simples. Ele estima como muitos como 750 milhões de telefones podem ser vulneráveis a ataques.
"Podemos instalar remotamente o software em um aparelho que opera de forma totalmente independente do seu telefone", disse Nohl. "Podemos espiá-lo. Sabemos que as suas chaves de criptografia para chamadas. Podemos ler o seu SMS de. Mais do que apenas espionagem, que pode roubar dados do cartão SIM, a sua identidade móvel, e cobrar a sua conta ".
Sr. Nohl é bem conhecido nos círculos de segurança. Em 2009, ele publicou uma ferramenta de software que calcula a chave de 64 bits usada para criptografar conversas em redes GSM, o que levou a indústria a adotar melhores salvaguardas. Sua empresa, a Research Labs segurança, aconselha alemão e empresas multinacionais norte-americanas sobre as questões de segurança móvel.
Mr. Nohl disse que a falha que ele havia descoberto foi o resultado de um método de criptografia desenvolvido na década de 1970 chamado padrão de criptografia de dados, ou DES Depois de descobrir a violação, ele pesquisou a difusão do problema testando cerca de 1.000 cartões SIM em celulares rodando no celular redes na Europa e América do Norte durante um período de dois anos. Os telefones e cartões SIM foram detidas e utilizadas por ele e membros de sua equipe de investigação. Mr. Nohl disse que cerca de um quarto dos cartões SIM que executam a tecnologia de criptografia mais expostos a falha.
Criptografia DES é usado em cerca de metade dos cerca de seis bilhões de celulares em uso diário. Ao longo da última década, a maioria dos operadores adotaram um método de criptografia mais forte, chamado de Triple DES, mas muitos cartões SIM ainda corre o padrão antigo. A criptografia é usada para disfarçar o cartão SIM, e, portanto, de assinatura digital única de um telefone celular.
Mr. Nohl compartilhou os resultados de seu estudo de dois anos com a GSM Association, uma organização com sede em Londres que representa a indústria de telefonia móvel, por meio de um processo de "divulgação responsável." Em 01 de agosto, ele pretende apresentar todos os detalhes de sua pesquisa na conferência Black Hat, reunindo um dos computadores dos hackers, em Las Vegas.
Em um comunicado, um porta-voz da Associação GSM, Claire Cranton, disse Nohl tinha enviado a associação contornos de seu estudo, que a organização tinha passado junto aos operadores e fabricantes de cartões SIM que ainda contavam com o padrão de criptografia mais velho.
"Temos sido capazes de considerar as implicações e fornecer orientações aos operadores de rede e fornecedores de SIM que podem ser afetados", disse Cranton. Ela acrescentou que é provável que apenas uma minoria dos telefones usando o padrão mais velho "pode estar vulnerável."
Ms. Cranton não quis comentar sobre a estimativa de Mr. Nohl que 750 milhões de telefones celulares pode estar aberto para o ataque, dizendo que a associação não quis comentar até que ele tinha revisto os resultados da investigação completa do Mr. Nohl, em Las Vegas. Um grande fabricante de cartões SIM da Gemalto, empresa holandesa, disse que a GSM Association havia dito que das conclusões preliminares do Mr. Nohl. Um segundo fabricante de cartões SIM, a empresa alemã Giesecke & Devrient, disse que "analisou este cenário de ataque."
Gemalto tem trabalhado em estreita colaboração com a associação e outros grupos da indústria de "olhar para o primeiro esboço dado por Mr. Nohl", disse Gemalto em um comunicado. A empresa disse que a GSM Association já havia divulgado as conclusões de Mr. Nohl aos membros do grupo.
Mr. Nohl foi capaz de derivar chave digital do cartão SIM enviando um SMS disfarçados como tendo sido enviado a partir do operador móvel. Portadores rotineiramente enviar mensagens codificadas especialmente para aparelhos para validar a identidade dos clientes para faturamento e transações móveis.
Para cada mensagem, a rede de telefone e verificar a sua identidade, comparando as assinaturas digitais. A mensagem enviada pelo Sr. Nohl deliberadamente utilizada uma assinatura falsa para a rede. Em três quartos de mensagens enviadas para telefones celulares usando criptografia DES, o aparelho reconheceu a assinatura falsa e terminou comunicação.
Mas, em um quarto dos casos, o telefone interrompeu a comunicação e enviou uma mensagem de erro de volta para Mr. Nohl, que incluía a sua própria assinatura digital criptografada. A comunicação prevista Mr. Nohl com informações suficientes para derivar chave digital do cartão SIM.
Mr. Nohl disse ter aconselhado a Associação GSM e fabricantes de chips para usar melhor a tecnologia de filtragem para bloquear o tipo de mensagens que ele havia enviado. Ele também aconselhou os operadores para eliminar progressivamente cartões SIM usando criptografia DES em favor de normas mais recentes. Ele acrescentou que os consumidores que utilizam cartões SIM mais de três anos de idade devem obter novos cartões de seus portadores.
Giesecke & Devrient, em um comunicado, disse que ele tinha começado a eliminação cartões SIM usando criptografia DES em 2008. A empresa alemã disse que o sistema operacional exclusivo usado em seus cartões SIM, mesmo aqueles em execução de encriptação DES, impediria um telefone inadvertidamente enviar o tipo de "código de autenticação de mensagem" que Mr. Nohl tinha usado para perfurar a criptografia.
Mr. Nohl disse que não estava planejando revelar as identidades dos operadores cujos cartões SIM tinha feito mal em seu estudo na conferência Black Hat, em agosto. Mas ele disse que planejava publicar uma lista comparativa de segurança do cartão SIM pela operadora em dezembro em uma conferência de hackers de computador "em Hamburgo, Alemanha, chamado de Chaos Communication Congress.
0 comentários:
Postar um comentário