Ένα πρόβλημα στην τεχνολογία των καρτών Sim, που χρησιμοποιούνται από δισεκατομμύρια χρήστες κινητών τηλεφώνων σε όλο τον κόσμο, καθιστά πολλές εξ αυτών τρωτές σε επιθέσεις από κυβερνοεγκληματίες, σύμφωνα με τον Κάρστεν Νολ, της Security Research Labs.
Η εν λόγω έρευνα θα παρουσιαστεί στη συνδιάσκεψη BlackHat στις 31 Ιουλίου και στο OHM hacking camp στις 3 Αυγούστου. Σύμφωνα με τον Νολ, υπάρχει τρόπος εντοπισμού κάποιων ψηφιακών «κλειδιών» μέσω της αποστολής ενός ειδικού γραπτού μηνύματος. Η μέθοδος αυτή θα μπορούσε να χρησιμοποιηθεί από κακόβουλους χάκερ οι οποίοι επιδιώκουν την υποκλοπή συνομιλιών και δεδομένων ή την κλοπή χρημάτων.
Σύμφωνα με την GSMA- διεθνή οργανισμό- ένωση εταιρειών κινητής τηλεφωνίας- το ζήτημα διερευνάται, ενώ ενημερώνονται οι φορείς που μπορεί να επηρεαστούν από το συγκεκριμένο πρόβλημα. Ωστόσο, η θέση της GSMA είναι πως οι Sim που απειλούνται είναι αποτελούν «μειονότητα» που βασίζεται σε παλαιότερη τεχνολογία.
Μία Sim λειτουργεί ουσιαστικά σαν πιστοποιητικό ασφαλείας, επαληθεύοντας την ταυτότητα του χρήστη σε σχέση με την εταιρεία- πάροχο υπηρεσιών. Επίσης, αποθηκεύουν έναν περιορισμένο όγκο δεδομένων, όπως επαφές, μηνύματα κ.α, που μπορεί να περιλαμβάνουν και στοιχεία που σχετίζονται με τραπεζικές και άλλες οικονομικές συναλλαγές. Αυτή τη στιγμή υπολογίζεται πως υπάρχουν πάνω από 7 δισεκατομμύρια κάρτες Sim σε χρήση σε όλο τον κόσμο.
Όπως αναφέρει το BBC, ο Νολ βρήκε τρόπο να εντοπίσει τον χρησιμοποιούμενο κωδικό επαλήθευσης μέσω της αποστολής ενός γραπτού μηνύματος που υποτίθεται πως προέρχεται από την εταιρεία- πάροχο του χρήστη και περιέχει μία πλαστή ψηφιακή «υπογραφή». Τα περισσότερα κινητά είναι σε θέση να αναγνωρίζουν το πλαστό της εν λόγω υπογραφής, ωστόσο στο ¼ των περιπτώσεων, σύμφωνα με την έρευνα, τα κινητά απάντησαν στέλνοντας ένα μήνυμα που περιέχει κρυπτογραφημένη έκδοση του κωδικού επαλήθευσης της Sim.
Η συγκεκριμένη κρυπτογράφηση υποτίθεται πως προστατεύει τον κωδικό, ωστόσο, κατά τον Νολ, στις μισές περίπου περιπτώσεις, βασιζόταν στο σύστημα DES (Digital Encryption Standard), που ανάγεται στη δεκαετία του 1970 και πλέον μπορεί να «σπάσει» εύκολα. Από εκεί και πέρα ο χάκερ μπορεί να στείλει στη Sim κακόβουλο λογισμικό που θα του επιτρέψει να προβεί σε δραστηριότητες όπως η αποστολή μηνυμάτων σε αριθμούς της επιλογής του, υποκλοπή των επικοινωνιών και παρακολούθηση της φυσικής θέσης του χρήστη.
Όπως επισημαίνει ο Νολ, εκτιμάται πως περίπου το 1/8 του συνόλου των καρτών Sim είναι ευάλωτες στο συγκεκριμένο είδος επίθεσης- δηλαδή μεταξύ 500 και 750 εκατομμυρίων συσκευών. Αν και δεν αποκάλυψε σε ποιες χώρες χρησιμοποιείται περισσότερο το DES, επεσήμανε πως υπάρχει λόγος για έντονο προβληματισμό στην Αφρική, καθώς, τη στιγμή που στην Ευρώπη η κύρια χρήση αφορά τηλεφωνικές κλήσεις και μηνύματα, στην Αφρική είναι πολλοί οι κάτοχοι κινητών που τα χρησιμοποιούν και για τραπεζικές υπηρεσίες. «Κάποιος θα μπορούσε να ληστέψει ολόκληρο τον λογαριασμό, αν είχε αντιγράψει την κάρτα Sim του ιδιοκτήτη του» λέει σχετικά.
Όσον αφορά την προστασία από τέτοιου είδους επιθέσεις, προτείνονται τρία «στρώματα» άμυνας: καλύτερες κάρτες, με εξελιγμένη κρυπτογράφηση και «κλειδιά», χρήση ειδικών firewalls για μηνύματα SMS σε κινητά και «φιλτράρισμα των μηνυμάτων εντός του δικτύου κινητής τηλεφωνίας.