פירצת אבטחה בכרטיסי הסים מאיימת על מאות מיליוני משתמשים

חוקר אבטחה גרמני חשף חור אבטחה משמעותי בכרטיסי הסים, המאפשר לתוקפים להשתלט על מכשיר הטלפון של המשתמשים ולעשות בו ככל העולה על רוחם, מבלי שהמשתמש יבחין בכך

מקור: Shutterstock

מקור: Shutterstock

“הגביע הקדוש” של ההאקרים נפרץ: אם עד עכשיו התגלו חורי אבטחה במערכות הפעלה מסויימות, כגון אנדרואיד, iOS או Windows Phone, מסתבר שישנם חורי אבטחה מסויימים שלא תלויים במערכת ההפעלה עצמה.

פירצת אבטחה בכרטיסי ה-SIM

חוקר אבטחה בשם קרסטן נול (Karsten Nohl), מייסד Security Research Labs היושבת בברלין, סיפר ל”ניו יורק טיימס” כי איתר חור אבטחה בטכנולוגיית ההצפנה של כרטיסי ה-SIM המאפשר לתוקפים להשיג את המפתח הדיגיטלי של הכרטיס ולשנות באופן דיגיטלי את רכיבי הכרטיס עצמו. חור האבטחה, שעלול להשפיע על כ-750 מיליון משתמשים, עלול לאפשר ציתות לשיחות טלפון, ביצוע רכישות מרחוק או התחזות לבעליו של המכשיר.

חוקרי האבטחה שמו לב שכאשר ניסו לשלוח פקודות OTA מסויימות, הם קיבלו הודעת שגיאה שהכילה גם את קוד ההצפנה הייחודי השייך למכשיר. הקוד יכול להיות מפוענח בקלות ולאחר מכן התוקפים יכלו לשלוט במכשיר ולעשות בו ככל העולה על רוחם, מבלי שהמשתמש אפילו יחשוד שמשהו לא כשורה. נול כבר הספיק לדווח לרשויות באופן פרטי על ממצאיו, וידווח באופן מפורט על הפירצה בכנס ההאקרים “Black Hat“.

פריצה למכשיר תוך 2 דקות – מכל מחשב סטנדרטי

הבאג לא נמצא בכרטיסי ה-SIM כולם, אך נול מעריך שהוא קיים בכרבע מכרטיסי ה-SIM המשתמשים בתקן האבטחה הסטנדרטי DES – סטנדרט שלא קיים יותר בכרטיסים החדשים אך עדיין נמצא בשימוש על ידי כ-3 מיליארד סמארטפונים מאוקטבים המשתמשים בכרטיסים ישנים. הבעיה הכי גדולה היא, שאין דרך קלה למשתמשים לדעת אם הכרטיס שלהם חשוף לחור האבטחה או לא.

נול סיפר כי הפריצה למכשירים מתבצעת תוך 2 דקות מכל מחשב סטנדרטי “אנו יכולים להתקין מרחוק תוכנה על המכשיר שלכם הפועלת באופן נפרד לחלוטין מהטלפון. אנחנו יכולים לרגל אחריך, לדעת את מפתחות ההצפנה שלך לשיחות, לקרוא את הודעות ה-SMS שלך, לגנוב מידע מכרטיס ה-SIM, ולחייב את חשבון הטלפון שלך.” בעוד חברות מובילות בשוק הסלולר כבר פרסמו כי הן מכירות את חור האבטחה ואמרו כי הן פועלות על מנת לחסום אותו, לא נרשמו עדיין נזקים שנגרמו כתוצאה משימוש בו.

קרדיט תמונה: Shutterstock

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: