Milhões em risco com falha de cartões SIM

[p.rodrigues]

A Security Research Labs explica que os cartões SIM têm uma vulnerabilidade que permite obter a chave de segurança do cartão. Com esta sequência, os atacantes podem ouvir chamadas ou realizar compras fraudulentas.

O alerta partiu de Karsten Nohl o fundador da Security Research Lab. Este investigador de Berlim avisa que há uma falha na tecnologia de encriptação dos cartões SIM que mostra a chave digital de 56 dígitos. Ao saberem esta chave, os atacantes podem realizar modificações no cartão SIM sem que o utilizador se aperceba. «Podemos instalar software remotamente no telemóvel, que trabalha de forma completamente independente face ao da operadora», explica Nohl ao The New York Times. «Mais do que espiar, esta vulnerabilidade permite roubar dados do cartão SIM, roubar a vossa identidade digital e realizar compras a serem creditadas no vosso cartão», alerta o especialista.

Esta falha poderá afetar até 750 milhões de cartões em todo o mundo. Estes dispositivos usam ainda um método de encriptação antigo, criado pela IBM na década de 1970. As conclusões da investigação que dura há dois anos já foram partilhadas com a GSM Association, um grupo que reúne responsáveis de várias empresas do setor.

O investigador Karsten Nohl é especialista em criptografia e já em 2008 alertou para as fraquezas em sistemas de cartões wireless usados em sistemas de trânsito, semelhantes à Via Verde portuguesa.

Fonte: EI

 

[maar3amt]

Alguns cartões SIM utilizados pelas redes móveis, podem ser hackeados em menos de 2 minutos

Cada telefone GSM precisa de um cartão SIM, e você acha que um padrão tão onipresente seria imune a quaisquer tentativas de sequestrar. Evidentemente que não, como Karsten Nohl do Security Labs Research - que achou um buraco na criptografia chamada GSM há vários anos - descobriu uma falha que permite que alguns cartões SIM possam ser hackeados com apenas um par de mensagens de texto. Por cloaking um SMS assim que parece ter vindo de uma transportadora, Nohl disse que em cerca de um quarto dos casos, ele recebe uma mensagem de erro de volta, contendo as informações necessárias para elaborar a chave digital do SIM. Com esse conhecimento, uma outra mensagem de texto pode ser enviado, que se abre para que se possam ouvir chamadas, enviar mensagens, fazer compras de móveis e roubar todos os tipos de dados.


Aparentemente, tudo isso pode ser feito "em cerca de dois minutos, utilizando um computador pessoal simples", mas afeta apenas SIMs executando o mais antigo padrão de criptografia de dados (DES). Cartões com o novo Triple DES não são afetados, também, os outros três quartos dos SIMs com DES Nohl foi testado e reconheceu a mensagem maliciosa como uma fraude. Não há nenhuma figura firme de quantos SIMs estão em risco, mas Nohl estima que o número de até 750 milhões. A Associação GSM tem dado alguns detalhes do exploit, que foram encaminhados para operadoras e fabricantes de SIM que usam DES. Nohl planeja derramar o feijão na próxima reunião do Black Hat.