據(jù)國(guó)外媒體報(bào)道,SIM卡從來(lái)都是黑客們的盲區(qū),也被認(rèn)為是安全性最高的部件。但德國(guó)信息安全專(zhuān)家斯滕·諾爾(Karsten Nohl)最新的研究表明,采用老式加密技術(shù)的SIM卡能夠輕易被黑。
報(bào)道稱(chēng),智能手機(jī)容易受惡意軟件攻擊,美國(guó)運(yùn)營(yíng)商就允許美國(guó)國(guó)家安全局竊聽(tīng)手機(jī)。但公眾認(rèn)為,手機(jī)有一個(gè)部位依然很安全:SIM卡。
然而,經(jīng)過(guò)三年的研究后,斯滕·諾爾聲稱(chēng)發(fā)現(xiàn)能夠影響數(shù)百萬(wàn)SIM卡的軟件缺陷,為手機(jī)監(jiān)控、詐騙打開(kāi)了另一條出路。
諾爾將于7月31日在拉斯維加斯舉辦的黑帽技術(shù)大會(huì)上公布他的研究成果。他自稱(chēng)是10年來(lái)黑掉SIM卡的第一人。他和他的技術(shù)團(tuán)隊(duì)曾測(cè)試過(guò)1000張SIM卡,展示如何在機(jī)主毫不知情的情況下發(fā)送短信以及進(jìn)行金融詐騙。
對(duì)于非洲用戶(hù)來(lái)說(shuō),支付詐騙是特別頭痛的問(wèn)題,因?yàn)橐許IM卡為基礎(chǔ)的支付手段在非洲應(yīng)用廣泛。此外,NFC支付方式以及移動(dòng)商追蹤每位消費(fèi)者賬戶(hù)的能力也會(huì)受到威脅。
SIM卡漏洞沒(méi)有固定的模式,非常隨機(jī),不同時(shí)期出貨的SIM卡可能會(huì)有所不同。在諾爾的研究中,經(jīng)他測(cè)試的SIM卡,只有不到1/4的卡能被黑。但是考慮到各國(guó)的加密標(biāo)準(zhǔn)不盡相同,他估計(jì)世界上大約1/8的SIM卡能被黑,那就意味著5億手機(jī)不夠安全。
諾爾相信,黑客可能還沒(méi)有發(fā)現(xiàn)這個(gè)漏洞。由于SIM卡有漏洞的消息被傳出,他預(yù)計(jì)黑客需要至少6個(gè)月才能破解,到那時(shí)候無(wú)線產(chǎn)業(yè)將會(huì)提出解決辦法。
這樣的努力可能已經(jīng)正在進(jìn)行。諾爾稱(chēng),至少兩家大型移動(dòng)商開(kāi)始要求員工就SIM的隱患找補(bǔ)丁,他們還會(huì)通過(guò)無(wú)線團(tuán)體GSMA同其他運(yùn)營(yíng)商分享安全補(bǔ)丁。
“各個(gè)公司在安全問(wèn)題上表現(xiàn)出驚人的合作性,因?yàn)楦?jìng)爭(zhēng)來(lái)自其他地方。”諾爾說(shuō),“競(jìng)爭(zhēng)者是有組織的犯罪,而不是AT&T與T-Mobile的對(duì)抗。”
SIM卡的市場(chǎng)幾乎已被瓜分,由世界兩大資深的全球供應(yīng)商Gemalto 和Oberthur Technologies掌控。兩家公司都因移動(dòng)設(shè)備的增長(zhǎng)獲得豐厚利潤(rùn):兩年前,全世界只有10億張SIM卡,現(xiàn)如今已經(jīng)超過(guò)50億。SIM卡被認(rèn)為是手機(jī)最安全的一部分,維系運(yùn)營(yíng)商與用戶(hù)的關(guān)系。
Verizon和AT&T均表示知悉諾爾的研究,但都認(rèn)為自己的SIM卡沒(méi)有類(lèi)似缺陷。AT&T表示它的SIM采用了沿襲10年的3DES技術(shù),而Verizon并未指明其SIM卡具備可靠性的原因。
總部設(shè)在倫敦的GSMA表示,他們看過(guò)諾爾的分析,認(rèn)為“少部分采用老式加密標(biāo)準(zhǔn)的SIM卡可能會(huì)受影響。”該組織稱(chēng),他們已經(jīng)向可能受影響的網(wǎng)絡(luò)運(yùn)營(yíng)商及SIM供應(yīng)商發(fā)布安全指南。
諾爾稱(chēng),AT&T和Verizon都受益于更先進(jìn)的SIM加密技術(shù),其他使用DES加密標(biāo)準(zhǔn)的運(yùn)營(yíng)商可能中招。
“給我任何一個(gè)電話號(hào)碼,我很可能在很短時(shí)間內(nèi)遠(yuǎn)程控制它,甚至復(fù)制。”諾爾說(shuō)。
SIM卡本質(zhì)上是一個(gè)微型的計(jì)算機(jī),它有自己的操作系統(tǒng)和預(yù)裝的軟件。為了保持安全性,很多SIM卡都采用IBM于70年代提出的DES加密標(biāo)準(zhǔn)。有的網(wǎng)絡(luò)運(yùn)營(yíng)商,如AT&T以及德國(guó)的四家公司都放棄使用老版的加密標(biāo)準(zhǔn),其他的仍在沿用。盡管諾爾未總結(jié)出SIM的典型缺陷,但被他黑過(guò)的SIM卡均采用陳舊的加密標(biāo)準(zhǔn)。
