Está a ser reportada uma enorme falha de segurança agora nos cartões SIM. Segundo o jornal The New York Times, investigadores de segurança descobriram uma vulnerabilidade na encriptação dos cartões SIM, que permitem aos hackers terem acesso remoto a um telefone.
A falha de segurança é relativa aos cartões SIM que usam a tecnologia de encriptação DES (Data Encryption Standard), que, embora seja um standard antigo e já em fase de substituição por parte dos fabricantes, ainda é usado por milhões de cartões destes.
Karsten Nohl, o fundador da empresa de segurança alemã, Security Research Labs, descobriu que se enviasse uma SMS falsa a solicitar uma mensagem automática, 25% dos cartões DES revelavam a sua chave de segurança de 56 bits. Com essa chave nas mãos, Nohl tem a capacidade de enviar um vírus ao SIM com uma mensagem de texto.
O vírus permitiu fazer-se passar pelo proprietário do telefone, interceptar mensagens de texto e até fazer pagamentos. O The New York Times cita Nohl para afirmar que toda a operação necessita “cerca de dois minutos” e a utilização de um simples PC.
Ao longo dos últimos dois anos, Nohl testou o seu método em cerca de 1.000 cartões em toda a América do Norte e Europa. O DES é utilizado em cerca de três mil milhões de SIM’s móveis em todo o mundo, dos quais Nohl estima que 750 milhões são vulneráveis ao ataque.
Muitas operadoras usam já um método mais forte de criptografia, o triple-DES, tecnologia que não sofre da vulnerabilidade que permite o método de Nohl. O DES, em geral, já foi descontinuado em favor da AES (Advanced Encryption Standard).
A falha foi divulgada ao GSMA, uma associação composta pelas operadoras de telefones móveis e outras empresas da área que supervisionam e implementam tecnologias nas redes GSM. A GSMA informou os fabricantes dos SIM e outras empresas directas e indirectamente envolvidas nesta situação, que devem analisar bem a situação para tomarem medidas e determinar como conseguir lidar com a falha.
Tendo feito o seu papel ao alertar a comunidade para este problema, Nohl pretende detalhar o seu método de ataque na conferência de segurança Black Hat, já no próximo dia 1 de Agosto. Planeia ainda publicar no final do ano, no mês de Dezembro, uma “lista comparativa” detalhando os níveis de segurança dos cartões SIM de cada operadora de telemóveis.
Com este nível de informação e com todo o detalhe que será mostrado, está nas mãos das operadoras a segurança dos seus clientes, como responsáveis pelos cartões SIM distribuídos.
Via | The Verge