Rumah Jam keamanan Bug enkripsi dalam kartu sim dapat digunakan untuk meretas jutaan telepon

Bug enkripsi dalam kartu sim dapat digunakan untuk meretas jutaan telepon

Video: Trik HACK SIMCARD TANPA MERUSAK SIMCARD (Video pembuktian 100% Dibuktikan) (Desember 2024)

Video: Trik HACK SIMCARD TANPA MERUSAK SIMCARD (Video pembuktian 100% Dibuktikan) (Desember 2024)
Anonim

Kelemahan dalam teknologi enkripsi yang digunakan oleh beberapa kartu SIM di perangkat seluler dapat dieksploitasi untuk mengambil kendali perangkat, seorang peneliti Jerman telah menemukan.

Kerentanan akan memungkinkan penyerang untuk mengirim pesan teks palsu untuk mendapatkan kunci enkripsi data (DES) standar 56-bit yang digunakan oleh kartu SIM ponsel yang ditargetkan, Karsten Nohl, pendiri Laboratorium Penelitian Keamanan Berlin, mengatakan kepada New York Times dan Forbes. Dengan kunci di tangan, penyerang akan dapat menginstal perangkat lunak berbahaya dan melakukan operasi jahat lainnya pada perangkat. Rincian lebih lanjut akan diungkapkan selama presentasinya di konferensi Black Hat di Las Vegas akhir bulan ini.

Sekitar setengah dari kartu SIM yang digunakan saat ini masih mengandalkan enkripsi DES yang lebih lama daripada triple-DES yang lebih baru dan lebih aman, Nohl memperkirakan. Selama periode dua tahun, Nohl menguji 1.000 kartu SIM di Eropa dan Amerika Utara dan menemukan bahwa seperempatnya rentan terhadap serangan. Dia percaya bahwa sebanyak 750 juta ponsel mungkin terpengaruh oleh cacat ini.

"Berikan saya nomor telepon apa pun dan ada kemungkinan saya akan, beberapa menit kemudian, dapat mengontrol kartu SIM ini dari jauh dan bahkan membuat salinannya, " kata Nohl kepada Forbes.

Deskripsi Serangan

Operator dapat mengirim pesan teks untuk tujuan penagihan dan untuk mengkonfirmasi transaksi seluler. Perangkat mengandalkan tanda tangan digital untuk memverifikasi pembawa adalah orang yang mengirim pesan. Nohl mengirimkan pesan palsu yang berpura-pura berasal dari operator seluler yang berisi tanda tangan palsu. Dalam tiga perempat pesan yang dikirim ke ponsel menggunakan DES, handset dengan benar menandai tanda tangan palsu dan mengakhiri komunikasi. Namun, dalam seperempat kasus, handset mengirim pesan kesalahan kembali dan memasukkan tanda tangan digital terenkripsi. Nohl dapat mengambil kunci digital SIM dari tanda tangan itu, lapor Forbes.

"Pengiriman kartu SIM yang berbeda memiliki atau tidak, " kata Nohl kepada Forbes. "Ini sangat acak, " katanya.

Dengan kunci SIM di tangan, Nohl dapat mengirim pesan teks lain untuk menginstal perangkat lunak pada telepon yang ditargetkan untuk melakukan berbagai kegiatan berbahaya, termasuk mengirim pesan teks ke nomor tingkat premium, menguping panggilan, mengarahkan kembali panggilan masuk ke nomor lain, atau bahkan melakukan penipuan sistem pembayaran, menurut Forbes. Nohl mengklaim serangan itu sendiri hanya membutuhkan waktu beberapa menit untuk dilakukan dari PC.

"Kami dapat memata-matai Anda. Kami tahu kunci enkripsi untuk panggilan. Kami dapat membaca SMS Anda. Lebih dari sekadar memata-matai, kami dapat mencuri data dari kartu SIM, identitas seluler Anda, dan membebankan biaya ke akun Anda, " kata Nohl kepada New. York Times.

Perbaiki yang sedang berlangsung?

Nohl telah mengungkapkan kerentanan terhadap Asosiasi GSM, sebuah kelompok industri seluler yang berbasis di London. GSMA telah memberi tahu operator jaringan dan vendor SIM yang dapat terpengaruh. "Sebagian kecil SIMS yang diproduksi dengan standar yang lebih lama bisa jadi rentan, " kata juru bicara kelompok itu kepada The New York Times.

International Telecommunications Union, sebuah kelompok Perserikatan Bangsa-Bangsa, mengatakan kepada Reuters bahwa penelitian itu "sangat penting, " dan bahwa kelompok itu akan memberi tahu regulator telekomunikasi dan lembaga pemerintah lainnya di hampir 200 negara. ITU juga akan menjangkau perusahaan ponsel, akademisi dan pakar industri lainnya, lapor Reuters.

Dengan informasi tentang kerentanan yang sekarang terbuka untuk umum, para penjahat cyber kemungkinan akan memakan waktu setidaknya enam bulan untuk memecahkan kelemahan tersebut, kata Nohl. Ini akan memberi operator dan sisanya operator nirkabel waktu untuk menerapkan perbaikan.

Nohl mengatakan kepada Forbes bahwa industri harus menggunakan teknologi penyaringan yang lebih baik untuk memblokir pesan palsu dan menghapus kartu SIM menggunakan DES. Konsumen yang menggunakan kartu SIM yang berusia lebih dari tiga tahun harus meminta kartu baru (kemungkinan menggunakan triple-DES) dari operator mereka, Nohl merekomendasikan.

Bug enkripsi dalam kartu sim dapat digunakan untuk meretas jutaan telepon