نقص رمزگذاری سیم‌کارت، ابزاری در دست مجرمان‌سایبری

انتشار: ۳ مرداد ۱۳۹۲

Encryption Flaw Makes Phones Possible Accomplices in Theft

بنا به گزارش خبری منتشر شده در New York Times، یک متخصص در زمینه‌ی امنیت موبایل آلمانی به نام Karsten Nohl (موسس لابراتوآرهای پژوهش امنیتی در برلین) اعلام کرده، نقصی در تکنولوژی رمزگذاری سیم‌کارت‌ تلفن‌همراه یافته‌ است، که امکان کنترل کردن تلفن‌همراه و سوء استفاده از آنرا به را به مجرمان سایبری می‌دهد، او خاطرنشان کرد، این نقص تنها بر روی Chip (تراشه‌)های خاصی وجود دارد و شامل کلیه سیم‌کارت‌ها نمیگردد.

آقای Nohl یکی از شخصیت‌های شناخته شده‌ی گروه‌های امنیتی است، که در سال ۲۰۰۹ مقاله‌ی او در ارتباط با یک ابزار نرم‌افزاری محاسبه کننده‌ی کلید ۶۴ بیتی رمزگذاری مکالماتِ شبکه‌های GSM، باعث انجام بررسی و مطالعه بیشتری در این زمینه، و نهایتا امنیت بیشتر آن شد.
آقای Nohl در ارتباط با کشف جدید خود می‌گوید، این حفره به او اجازه داده، که از خارج کلید دیجیتال یک سیم‌‌کارت (یک ترتیب ۵۶-رقمی، که باعث بازشدن دسترسی به تراشه مربوطه می‌شه) را بدست آورده و سیم‌کارت را هک نمایند. با در دست داشتن این کلید، او ویروسی را به کمک پیامک به سیم‌کارت ارسال کرده و کل دستگاه را هک نموده، سپس توانسته تماس‌های سیمکارت را استراق سمع، خرید انجام داده و هزینه آنرا به کمک موبایل قربانی پرداخت کند، حتی خود را به عنوان مالک خط معرفی و از این جعل‌هویت استفاده نماید.
در ادامه می‌گوید، کل پروسه‌ به کمک یک‌ کامپیوتر ساده‌ی شخصی انجام داده و حداکثر ۲ دقیقه زمان برای هر سیم‌کارت صرف کرده‌است. همچنین برآورد کرده‌است چنانچه این مسئله قبل از او توسط مجرمان‌سایبری کشف شده‌بود، اکنون بیش از۷۵۰ ملیون کاربر تلفن آسیب دیده‌بودند.
آقای Nohl این نقص کشف شده، را به دلیل استفاده از متد رمزگذاری توسعه یافته در ۱۹۷۰ میلادی معروف به «D.E.S» می‌داند، و اعلام می‌کند بررسی این مسئله را در یک بازه زمانی ۲ ساله بر روی یک جامعه‌ی آماری شامل شمال آمریکا و اروپا توسط او وتیم تحقیقش بر روی حداقل ۱۰۰۰ سیم‌کارت انجام شده‌است. و متاسف است که بیش از ¼ از سیم‌کارتهای درحال کار از این تکنولوژی رمزگذاری قدیمی استفاده و این نقص را در بر دارند.
آقای Nohl به موسسه GSM و سازنده‌های تراشه پیشنهاد استفاده از تکنولوژی فیلترینگ، جهت بلاک کردن پیامک‌هایی مانند آنچه او استفاده نموده را داده، همچنین به اپراتورهای تلفن‌همراه پیشنهاد استفاده از فن‌آوری‌های جدید رمزگذاری و عدم استفاده از تکنولوژی رمزگذاری «D.E.S.» را داده است، او از کاربران تلفن‌همراه خواسته سیم‌کارتهای قدیمی‌تر از ۳ سال خود را تعویض نمایند و با این کار دستگاه‌ها را ایمن سازند. او اعلام کرده دستاوردهای مطالعاتیش را به موسسه GSM گزارش کرده و در تاریخ ۱ آگوست نیز این تحقیق را در کنفراس هکرهای کامپیوتر Black Hat در « Las Vegas» به صورت کامل ارائه خواهد نمود.
آقای Nohlدر انتها می‌گوید: “با وجود این نقص می‌توانیم از راه دور، نرم‌افزاری روی گوشی‌های موبایل نصب کنیم که کاملا مستقل از گوشی موبایلتان کار می‌کند. می‌توانیم جاسوسی‌تان را بکنیم. کلیدهای رمزگذاری تماس‌هایتان را می‌دانیم. می‌توانیم پیامک‌هایتان را بخوانیم. حتی فراتر از جاسوسی می‌توانیم اطلاعات سیم‌کارتتان و شناسه موبایلتان را داشته باشیم.”

حتما بخوانید: آسیب پذیری Dirty COW در سرور های CentOS

موسسه‌ GSM در بیانیه ای خود اعلام کرد: “با توجه به گزارش دریافتی از آقای Nohl، و بررسی‌ها خود توانسته‌ایم راهکارهایی به فروشندگان سیم‌کارت‌ها و صاحبان شبکه‌هایی که ممکن بود در معرض خطر باشند ارائه کنیم.”

۰