Artikel top billede

Hul i SIM-kort: Hackere kan kontrollere din mobiltelefon

To sårbarheder gør det muligt at overvåge, aflytte og svindle med dit mobilabonnement, hvis du har en bestemt type SIM-kort.

Hvert ottende SIM-kort i verden kan hackes via to forskellige kritiske sårbarheder, det påviser et hold tyske forskere.

Holdet har knækket den SIM-kort kryptering, der skal forhindre, at dit mobil-abonnement kan overtages af personer, som gennem det nye hack eksempelvis kan aflytte dine samtaler og programmere SIM-kortet til at sende smser til diverse betalingsservices.

"Det drejer sig om forskellige typer af SIM-kort, der enten indeholder sårbarheden eller ej," siger Karsten Nohl, der er forsker ved Security Research Labs i Tyskland, til mediet Forbes.

Ifølge Karsten Nohl drejer det sig om kort, der benytter sig af krypteringsstandarden Data Encryption Standard (DES), som IBM oprindeligt lavede i 1970'erne. DES-standarden er i øvrigt siden er blevet videreudviklet af den amerikanske sikkerhedstjeneste NSA (National Security Agency).

Sårbarhed gør det muligt at aflytte telefonen
Forskerne har gennemtestet i alt 1.000 tilfældige kort for to sårbarheder, der gør det muligt at overtage styringen med det vitale kort, der i princippet fungerer som en mini-computer med eget operativsystem og pre-installeret software.

For at kunne udnytte begge sårbarheder kræves det, at SIM-kortet benytter sig af krypteringsstandarden DES.

Den første sårbarhed kan udnyttes ved at afsende en såkaldt Over-The-Air (OTA) binærbesked til SIM-kortet, herefter får forskerne en besked tilbage om, at der ikke kommunikeres med korrekt krypteringsnøgle.

De data, som kortet sender tilbage til forskerne, kan opsamles, og derefter bruges til at bryde og derved finde den korrekte krypteringsnøgle på omkring ét minut. På den måde har forskerne opnået adgang til at kommunikere med SIM-kortet, som ellers kun teleudbyderen har adgang til.

Efter krypteringsnøglen er opsnappet, kan forskeren, Karsten Nohl, nu downloade virus til SIM-kortet, der kan sende sms'er til en betalingsgateway, således at ejeren af kortet ville blive opkrævet penge fra en given betalingsudbyder, som hackere selv kunne sætte op og tjene penge på.

Derudover vil det også være muligt for forskerne at aflytte og videresende samtaler, samt indsamle lokationsdata uden at den pågældende forbruger kan opdage det.

OTA bruges i dag blandt andet af teleudbyderne til at ændre gængse indstillinger, som eksempelvis tilladelse af udenlandstelefoni.

Dårlig programmering åbner endnu en dør til dit SIM-kort

Dårlig programmering åbner endnu en dør til dit SIM-kort

Den anden sårbarhed forskerne har opdaget eksisterer i det såkaldte Java Card-program, der fungerer på telefonen.

Programmet kører i en såkaldt sandbox, der skal sørge for, at programmet ikke kan kompromitteres, hvis SIM-kortet hackes.

"Denne sandbox-mekanisme er i stykker på de mest udbredte SIM-kort," siger Karsten Nohl til Forbes.

Ifølge forskerne kan kort, der er leveret med den nyeste krypteringsstandard, 3DES, dog ikke kompromitteres.

Forsker: Hackerne har nok ikke sårbarheden endnu
Selvom forskerne har påvist sårbarhederne, så maner Karsten Nohl alligevel til ro.

Han vurderer, at forskerne er de eneste, der endnu kan udnytte de to huller, og at producenterne vil sørge for at få lukket dem forholdsvis hurtigt.

Derudover vurderer han, at andre hackere skal bruge omkring et halvt år på at være i stand til at udnytte sårbarhederne.

Ifølge Forbes vil Karsten Nohl præsentere sårbarhederne den 31. juli til den årlige sikkerhedskonference Black Hat i Las Vegas.

Læs også:

Mobil-producenter strides om dit næste SIM-kort

Nu skal du have et helt nyt SIM-kort i din mobil




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
Den nye kulørte iMac er så Applesk at det næsten gør ondt – og derfor ville jeg ikke selv købe en
Apple-dyderne lever i allerbedste velgående i selskabets nye, lækre og farverige iMac – og det bør få dig til at se dig om efter noget andet.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Går du glip af fordelene ved at være på flere online markedspladser?
Der er store fordele ved at være på flere e-handelskanaler – men potentielt også mere besvær. I dette whitepaper kan du læse, hvordan du optimerer indsatsen og samler det hele i én platform.