תוכן עניינים:
במהלך סוף השבוע התפרסמו חדשות על ניצול שמשפיע על מיליוני משתמשי טלפון. ככל הנראה, בהצפנה המשמשת יש פגם המאפשר להאקר לשכפל את תעודות ההצפנה של כרטיס SIM (S ubscriber I dentity M odule), ובכך עשוי לאפשר להם לשכפל את כרטיס ה- SIM שלך ולאחזר דברים כמו מידע על התוכנית והתשלומים שלך, או לזהות אותך ברשת.
זה נשמע מפחיד וזה מיועד ל -500 מיליון כרטיסי ה- SIM המושפעים בטבע. אבל כמו כל הפחדה ביטחונית טובה ששווה שזה מלח, יש בסיפור הרבה יותר משאנחנו שומעים. לחץ על דרך ונדבר על זה קצת.
מקור: מעבדות מחקר אבטחה
איך זה עובד
תוקף יכול לשלוח פקודה שנראית דומה לפקודה שהמוביל שלך שולח כדי ליידע את הטלפון שלך שיש עדכון בשידור מוכן. פקודה זו אינה חוקית, מכיוון שלתוקף אין את מפתח ההצפנה הנכון. לאחר מכן הטלפון שלך ישלח הודעת שגיאה החתומה עם מפתח ההצפנה הנכון. ברגע שלהאקר הפוטנציאלי יש את מפתח החתימה הנכון, הם יכולים להשתמש בתוכנה מסוימת כדי לפצח את המפתח בכוח ויש לו עותק משלהם. באמצעות מקש תקף זה ניתן לשלוח הודעה חדשה אודות OTA, אותה יוריד הטלפון שלך מכיוון שהמפתח תקף. OTA זה יכול להיות אפליקציה המאחזרת את כל נתוני כרטיס ה- SIM שלך, ומאפשרת לתוקף לשבט אותם.
בעזרת עותק משובט זה של ה- SIM שלך, הם יכולים לאמת את עצמם כמוך ברשת הספק. נשמע מפחיד, נכון?
מה שאנחנו לא יודעים
יש כל בעיה מכוערת אחת גדולה עם כל זה. שיטת ההצפנה הניתנת לשבירה, DES-56, נפרצה במקור בשנת 1998 על ידי ה- EFF. בשלב זה אף אחד לא אמור להשתמש בשיטת הצפנה שבורה ידועה. מתוך שבעה מיליארד פלוס כרטיסי SIM הקיימים, כ -500 מיליון נפגעים.
500 מיליון מכל דבר זה הרבה, אבל לעומת 7 מיליארד (עם ab) זה חלק קטן. הדיווחים על פגם זה לא מפסיקים את המידע החיוני ביותר - מי, בדיוק, יכול להיות מושפע מהניצול הזה?
האנשים שגילו מחדש את הסדק של DES-56, בראשותו של קרסטן נוחל, מדען ראשי במעבדות לחקר האבטחה בברלין, נואמים נאום גדול על השימוש בו בכנס השחור כובע בווגאס בסוף יולי. עד אז, אין לנו את הפרטים באמת. נודיע לך יותר כשמישהו יחליט ליידע אותנו.
בינתיים, הסר את נייר הכסף. נדע את כל הפרטים בעוד כשבוע.
