據(jù)國外媒體報道�����,SIM卡從來都是黑客們的盲區(qū)�����,也被認為是安全性最高的部件�����。但德國信息安全專家斯滕·諾爾(Karsten
Nohl)最新的研究表明�,采用老式加密技術(shù)的SIM卡能夠輕易被黑。
報道稱����,智能手機容易受惡意軟件攻擊,美國運營商就允許美國國家安全局竊聽手機��。但公眾認為�����,手機有一個部位依然很安全:SIM卡��。
然而���,經(jīng)過三年的研究后��,斯滕·諾爾聲稱發(fā)現(xiàn)能夠影響數(shù)百萬SIM卡的軟件缺陷���,為手機監(jiān)控、詐騙打開了另一條出路�����。
諾爾將于7月31日在拉斯維加斯舉辦的黑帽技術(shù)大會上公布他的研究成果。他自稱是10年來黑掉SIM卡的第一人��。他和他的技術(shù)團隊曾測試過1000張SIM卡����,展示如何在機主毫不知情的情況下發(fā)送短信以及進行金融詐騙。
對于非洲用戶來說�,支付詐騙是特別頭痛的問題,因為以SIM卡為基礎(chǔ)的支付手段在非洲應(yīng)用廣泛�����。此外�����,NFC支付方式以及移動商追蹤每位消費者賬戶的能力也會受到威脅����。
SIM卡漏洞沒有固定的模式,非常隨機��,不同時期出貨的SIM卡可能會有所不同�。在諾爾的研究中,經(jīng)他測試的SIM卡,只有不到1/4的卡能被黑��。但是考慮到各國的加密標準不盡相同����,他估計世界上大約1/8的SIM卡能被黑���,那就意味著5億手機不夠安全���。
諾爾相信,黑客可能還沒有發(fā)現(xiàn)這個漏洞��。由于SIM卡有漏洞的消息被傳出��,他預計黑客需要至少6個月才能破解����,到那時候無線產(chǎn)業(yè)將會提出解決辦法。
這樣的努力可能已經(jīng)正在進行�����。諾爾稱�,至少兩家大型移動商開始要求員工就SIM的隱患找補丁,他們還會通過無線團體GSMA同其他運營商分享安全補丁。
“各個公司在安全問題上表現(xiàn)出驚人的合作性��,因為競爭來自其他地方�。”諾爾說�,“競爭者是有組織的犯罪,而不是AT&T與T-Mobile的對抗�����?���!?
SIM卡的市場幾乎已被瓜分,由世界兩大資深的全球供應(yīng)商Gemalto 和Oberthur
Technologies掌控����。兩家公司都因移動設(shè)備的增長獲得豐厚利潤:兩年前,全世界只有10億張SIM卡���,現(xiàn)如今已經(jīng)超過50億�。SIM卡被認為是手機最安全的一部分���,維系運營商與用戶的關(guān)系�����。
Verizon和AT&T均表示知悉諾爾的研究���,但都認為自己的SIM卡沒有類似缺陷�����。AT&T表示它的SIM采用了沿襲10年的3DES技術(shù),而Verizon并未指明其SIM卡具備可靠性的原因���。
總部設(shè)在倫敦的GSMA表示���,他們看過諾爾的分析,認為“少部分采用老式加密標準的SIM卡可能會受影響����。”該組織稱�����,他們已經(jīng)向可能受影響的網(wǎng)絡(luò)運營商及SIM供應(yīng)商發(fā)布安全指南�。
諾爾稱���,AT&T和Verizon都受益于更先進的SIM加密技術(shù),其他使用DES加密標準的運營商可能中招��。
“給我任何一個電話號碼���,我很可能在很短時間內(nèi)遠程控制它�,甚至復制����。”諾爾說�����。
SIM卡本質(zhì)上是一個微型的計算機�����,它有自己的操作系統(tǒng)和預裝的軟件��。為了保持安全性����,很多SIM卡都采用IBM于70年代提出的DES加密標準��。有的網(wǎng)絡(luò)運營商����,如AT&T以及德國的四家公司都放棄使用老版的加密標準�,其他的仍在沿用。盡管諾爾未總結(jié)出SIM的典型缺陷���,但被他黑過的SIM卡均采用陳舊的加密標準�。
