设为首页   在线评论   推广技巧   发布求购   免费注册   激活帐号
一卡通世界
当前位置:一卡通世界 >> 新闻中心 >> 行业动态 >> 智能卡 >> SIM卡存在安全漏洞 7.5亿手机身处险境

SIM卡存在安全漏洞 7.5亿手机身处险境

来源:新浪科技      作者:扬帆      2013/7/22 9:47:48

  据《纽约时报》网络版报道,德国一位手机安全专家近日表示,他发现部分手机SIM卡采用的加密技术存在安全漏洞,网络犯罪分子可以利用这一漏洞,控制人们的手机。

  危及7.5亿部手机

  柏林安全研究实验室(Security Research Labs)创始人卡斯滕·诺尔(Karsten Nohl)表示,由于这个安全漏洞,犯罪分子可以获得SIM卡的数字密钥,进而破译SIM卡并进行修改。诺尔称,一旦掌握了数字密钥,他就可以通过短信向这张SIM卡发送病毒,结果,他就能窃听机主的通话,通过手机支付系统购买东西,甚至盗用机主的身份从事其他活动。

  诺尔表示,他仅仅通过一台个人电脑,在大约两分钟内就能破译手机SIM卡数字密钥并发送病毒信息。据他估计,全球最多会有7.5亿部手机易于遭受这种攻击。诺尔说:“我们可以将软件远程安装到一部手机上,借此监控机主的一举一动,知道来电的数字密钥,还可以读取短信。除了实施监控,我们还可以通过盗取的SIM卡窃取机主的身份信息以及账单费用等。”

  诺尔是安全研究领域的权威人士。2009年,他发明了一款软件工具,可以破译用于对GSM网络通话进行加密的64位密钥,促使移动行业不得不采取更有效的安全措施。诺尔创立的公司——安全研究实验室,是德国和美国多家跨国公司的移动安全顾问。

  诺尔说,这个安全漏洞要归咎于在20世纪70年代开发的一种加密方法,即数据加密标准(简称D.E.S)。诺尔在两年内对欧洲和北美移动网络中的1000张手机SIM卡进行了测试,以了解这个问题的普遍性。这些手机和SIM卡都属于他本人或所在研究团队的成员。诺尔说,在所有运行D.E.S标准的SIM卡中,大约四分之一存在这种安全漏洞。

  D.E.S加密标准

  目前,在人们每天用到的60亿部手机中,大约一半采用D.E.S数据加密技术。在过去10年间,大多数运营商都采用了一个安全性更强的加密方法,即“三重数据加密标准”(Triple data encryption standard),但许多SIM卡仍然在沿用D.E.S标准,导致它们的数字密钥易用被破解。

  诺尔已经通过一个名为“负责任揭秘”(responsible disclosure)的流程,向总部设在英国伦敦的移动行业组织GSM协会(GSM Association),分享了他为期两年的研究成果。8月1日,诺尔将在拉斯维加斯举行的黑帽黑客大会上,公布他的研究细节。

  GSM协会发言人卡莱尔·克兰顿(Claire Cranton)在一份声明中称,诺尔向该协会发来了其最新研究的概要,而他们已将这些内容转发给运营商,以及仍在使用D.E.S标准的SIM卡制造商。克兰顿表示:“我们一直在研究这件事带来的潜在影响,并向可能受影响的运营商和SIM卡厂商提供指导。”她还说,只有少部分仍然在使用D.E.S标准的手机,“易于遭受攻击”。

  公布初步结果

  对于诺尔有关全球7.5亿部手机易于遭受黑客攻击的说法,克兰顿拒绝发表评论,称在收到诺尔完整的研究报告之前,GSM协会不便发表评论。荷兰SIM卡厂商Gemalto表示,GSM协会已向其告知了诺尔的初步研究发现。德国SIM卡厂商Giesecke & Devrient则表示,该公司此前分析过“这种攻击手段”。

  Gemalto在一份声明中称,该公司一直在与GSM协会和其他行业组织密切合作,“研究诺尔先生给出的第一份研究概要。”它还表示,GSM协会已将诺尔的初步研究报告分发给各个成员。

  诺尔只要假借运营商身份向机主发送短信,就可以获得SIM卡数字密钥。运营商经常会将经特别加密的信息发送至手机,以便在收费或移动交易中验证机主身份的真实性。用户每发出一条信息,运营商和手机都会通过对比数字签名来验证机主身份。诺尔发出的信息故意利用了虚假签名。

  破译数字密钥

  在诺尔发送至采用D.E.S标准的手机的信息中,四分之三被手机确认为虚假签名并终止通讯。但在剩余四分之一的信息中,手机会向诺尔发送回错误提醒信息,里面包括了手机的加密数字签名。虽然数字签名已经做了加密处理,但诺尔仍能够从中获得足够多的信息,破译SIM卡的数字密钥。

  诺尔表示,他曾建议GSM协会和芯片厂商,采用更好的过滤技术来阻止他发送的某些信息。诺尔还建议运营商逐步淘汰采用D.E.S标准的SIM卡,转而采用更新D.E.S标准的SIM卡。此外,诺尔还认为,SIM卡使用时间超过三年的手机用户,应该向运营商申请更换新一代SIM卡。

  Giesecke & Devrient在一份声明中称,该公司从2008年开始逐步淘汰采用D.E.S标准的SIM卡。Giesecke & Devrient还表示,该公司SIM卡使用的独有操作系统,将可以避免手机无意中发送“消息验证代码”,诺尔正是利用这种代码破译了SIM卡数字密钥。

  诺尔表示,虽然他不打算在拉斯维加斯黑帽黑客大会上,披露SIM卡安全性能不佳的运营商名称,但他会在12月份在德国汉堡举行的Chaos Communication Congress黑客大会上发布一个名单,全面比较不同运营商的SIM卡安全性。

分享到新浪微博     分享到腾讯微博         责任编辑:苏洁   投稿邮箱:editor@yktworld.com
关于 SIM卡  安全漏洞  手机支付 的新闻
  • 捷德移动安全促进M2M融合消费者eSIM管理 实现联网汽车
  • eSIM面世七年,离普及还有多远?
  • 捷德移动安全eSIM技术入选谷歌Project Fi
  • RCC寻求新突破 国民技术发布移动安全平台及RCC蓝牙SIM卡
  • eSIM要革运营商的命,真的有那么简单吗?
  • 【干货】eSIM安全问题分析及监管建议
  • 6月起,建行金融IC卡小额免密免签单笔限额升至1000元
    6月起,建行金融IC卡小额免密免签单笔限额升至1000元
    金华市八大民生领域全面推广“智慧支付工程”
    金华市八大民生领域全面推广“智慧支付工程”
    央行有关负责人就外商投资支付机构准入和监管政策有关问题答记者问
    央行有关负责人就外商投资支付机构准入和监管政策有关问题答记者问
    万事达卡对加密货币持开放态度,允许用户取出比特币
    万事达卡对加密货币持开放态度,允许用户取出比特币
    相关产品
    最新收录
    新闻   产品   企业   招标   求购
    技术   方案   下载
    关于我们
    网站介绍   广告服务   会员分类   联系方式
    企业推广   产品推广
    Copyright © 一卡通世界网
    粤ICP备11061396号-3   粤公网安备 44030602000993号