Schede SIM a rischio, 750 milioni di cellulari vulnerabili

E’ stata trovata una falla di sicurezza all’interno di moltissime schede SIM che puo’ permettere ai malintenzionati di riuscire a prendere il controllo dei nostri cellulari.

A rivelarlo è Karsten Nohl che con la sua Security Research Labs, di cui è fondatore, ha scoperto e comprovato la falla di sicurezza.

Più precisamente tale falla permette di riuscire ad avere accesso ad una chiave digitale di 56 cifre grazie alla quale è possibile controllare i telefoni dei malcapitati.

Infatti Nohl nella sua dimostrazione ha potuto intercettare una chiamata, far finta di essere il proprietario ed infine effettuare acquisti sui vari servizi mobili.

Per ottenere la chiave di accesso viene inviato un SMS finto che si spaccia per uno inviato dal provider telefonico, solitamente questo tipo di messaggi vengono interpretati in maniera diversa e prima di procedere con le operazioni vengono confrontate le firme digitali per assicurarsi che il mittente ed il ricevente siano affidabili.

La firma digitale dell’SMS fasullo è riconosciuta come non idonea e quindi le comunicazioni vengono interrotte, il problema è che in alcuni casi il telefono restituisce un messaggio di errore che include la chiave crittografia della SIM.

Purtroppo la risposta di questa comunicazione contiene dati a sufficienza per riuscire a ricavare la chiave digitale originale della SIM permettendo quindi successivamente di fare quello che si vuole con il telefono che utilizza tale SIM.

Secondo le analisi dell’azienda tedesca pare che vi sono circa 750 milioni di cellulari vulnerabili a questo tipo di attacco.

Possiamo installare da remoto del software su un dispositivo così che operi in modo indipendente sul vostro telefono. Possiamo spiarvi. Conosciamo le vostre chiavi di codifica per le chiamate, possiamo leggere i vostri SMS. E otre a spiarvi possiamo rubare dati dalla scheda SIM, la vostra identità mobile e far pervenire addebiti sul vostro account.

Tutti i produttori e la GSM Association sono ovviamente già stati informati e tale vulnerabilità sarà discussa anche alla Black Hat Conference tenuta ogni anno e dedicata proprio alla sicurezza informatica.

La falla è sfruttabile grazie ad un vecchio metodo di criptazione chiamato DES che fu sviluppato negli anni ’70, oggigiorno i vari produttori sono passati ad un nuovo metodo di criptazione più sicuro denominato Triple DES.

Nohl ha consigliato ai provider di utilizzare dei filtri più bloccanti per le comunicazioni tra telefoni e gestori ed inoltre di assicurarsi di utilizzare SIM che sfruttano la criptazione Triple DES.




Reply