广告

原创 部分SIM卡或存重大安全漏洞 5亿设备有风险

2013-7-22 14:27 119 0 分类: 消费电子

 

 

  【搜狐IT消息】7月22日消息,智能手机容易感染病毒,运营商也允许政府机构窥探,但是手机中有一个组件是安全的、无法被黑的:SIM卡。

  经过多年的研究之后,德国译解密码者卡斯滕-诺尔(Karsten Nohl)终于宣布,已经找到SIM卡的加密漏洞和软件漏洞,涉及数亿SIM卡,从而开放了不安全之门,黑客可以路由到手机欺诈用户。

  在7月31日的洛杉矶Black Hat 安全大会上,诺尔将演示自己的发现,他说这是十年来首次发现该类SIM**。诺尔和他的团队测试了1000张SIM卡,寻找漏洞,他们只要发送一个隐藏的SMS短信就可以黑入SIM卡。

  漏洞有2部分,一是老式的安全标准,二是糟糕的配置代码,黑客利用漏洞可以用病毒远程感染SIM卡,让手机发送付费短信,暗中重新定向并纪录呼叫,利用支付系统进行欺诈。

  在一些地区,比如非洲,支付欺诈是个大问题,因为当地SIM式的支付很流行。

  诺尔还说,NFC支付技术也存在风险。旧式的加密标准并没有什么明确的漏洞模式,他说:“不同的SIM卡出货批次也有不同,有的有漏洞,有的没有,非常随机。”

  根据研究,诺尔称测试过的SIM卡只有不到四分之一可以被黑,考虑到加密标准被多国广泛采用,他估计全球八分之一的SIM存在问题,相当于5亿移动设备存在被黑风险。

  不过不要害怕,诺尔相信网络罪犯不可能已经发现漏洞的存在。当漏洞被发现,需要至少6个月**,到时无线产业可以修补好漏洞。可能运营商已经在修补了。诺尔称,至少2家大型运营商已经要求诺尔及同事为SIM卡漏洞寻找补丁,运营商通过GSMA与其它运营商分享。

  目前的SIM卡几乎全部来自移动运营商,它由2家领先制造商提供:Gemalto和Oberthur技术。受益于手机的增长,这两家企业也获得丰厚的利润。20年前全球有10亿SIM卡,今天超过50亿张。SIM卡是手机最安全的部件之一,它是运营商的资产,是运营商与用户建立关系的桥梁。

  伦敦GSMA表示,他们正在查看诺尔的分析,并称一些采用老式标准的少量SIM卡可能存在漏洞。GSMA已经向网络运营商、SIM卡制造商提供指南。GSMA新闻发言人还说:“没有证据显示今天更安全的SIM卡会受影响,今天的SIM支持许多先进服务。”

  诺尔说AT&T和Verizon的SIM加密标准更高,而其它运营商使用了DES(Data Encryption Standards),它是1970年代开发的,比较老,诺尔正是利用该标准的漏洞黑入SIM卡的。

  诺尔说:“将你的手机号给我,我就有机会远程控制这张SIM卡,甚至复制一张,只要几分钟。”

  SIM卡相当于迷你电脑,它有自己的操作系统,预装软件。为了保证安全,许多SIM卡采用加密标准DES,这套标准是IBM于1970年发明的,后来经过NSA的改进。一些运营商的网络已经放弃旧版标准,但仍有一些运营商在使用。

  之所以能黑入SIM卡,关键在于 Java Card,它是一种编程语言,被用在60亿SIM卡中。如果运营商想更新用户SIM的内容,就要发一则二进制SMS给用户,然后才能在SIM卡上执行正确的Java Car程序。这则文本信息你不会看见,它通过一种名叫“OTA”的方式发送。

广告

文章评论 0条评论)

登录后参与讨论
相关推荐阅读
l3006000 2016-07-01 11:56
三年前问题电池惠普“迟到”召回 八年四次召回
新京报   惠普   6月29日,国家质检总局发布公告称,惠普科技(北京)向国家质检总局备案了召回计划,从即日起召回部分2013年3月至2014年5月生产的HP笔记本用电池组。中国大陆地...
l3006000 2016-07-01 11:54
支付新规今起执行,800万人将有钱也花不出去
马继华   今天,网络支付新规开始执行。新规实施后,用户使用支付宝余额与微信零钱等进行交易时,单日与年度交易额都将受到限制。   对于很多人来说,可以通过增加认证方式的...
l3006000 2016-07-01 11:51
2498元!vivo X7/X7 plus发布,主打1600万柔光自拍
数码FUN  vivo   搜狐数码/吕林轩   6月30日,vivo在北京正式发布了X7/X7 Plus,自此Xshot系列的专项拍照使命将由...
l3006000 2016-07-01 11:49
乐视Kido Watch儿童智能手表发布:698元4G全网通
数码FUN   搜狐数码/吕林轩   6月30日下午乐视Kido Watch发布,手机分为粉、蓝两色,售价为698元,并邀请刘涛担任首席体验师。 ...
l3006000 2016-06-30 14:04
充电5分钟通话4小时 联发科推出PE3.0快充技术
电脑爱好者   继高通QuickCharge进化到3.0版本后,联发科主导的Pump Express快充技术也迎来了3.0版本。和高通QC3.0以提高充电效率(不是速度哦)和降低...
l3006000 2016-06-30 14:01
乐视发布2799元乐Max2手机 内置社交等应用
长庚小报   6月29日下午,乐视手机在上海召开新闻发布会,对外发布了全新版本的旗舰乐Max2手机,该机采用6GB内存,内置128GB存储空间,搭载5.7英寸2K分辨...
我要评论
0
0
广告
关闭 热点推荐上一条 /1 下一条