Hamisítható a mobiltelefon-kártya

Vágólapra másolva!
Új biztonsági rést fedeztek fel a GSM rendszerű mobiltelefonokban használt SIM-kártyáknál. A lapocskák kódjának feltörésére eddig ismert módszerekhez hosszabb időre meg kellett szerezni a SIM-kártyát. Az új eljárással ugyanerre elég két perc. A magyar mobilszolgáltatók azon a véleményen vannak: a SIM-csipek újfajta hamisításáról szóló hír kacsa.
Vágólapra másolva!

Az IBM Research, az amerikai vállalat kutatási csoportja új módszert talált, amellyel az eddig alkalmazott óvintézkedések ellenére megfejthető a SIM-kártyák titkos kulcsa. A GSM SIM-kártyák feltörésének ez idáig legsikeresebb trükkjéhez legalább nyolc órára a SIM-kártya birtokába kellett jutni. Az IBM titkosító, adatvédelmi és kriptográfiai (titkosítási) kutatóközpontjában, az egyesült államokbeli Yorktown Heightsben felfedezett biztonsági hiba miatt a kártyák hamisítása (másolása, klónozása) ez esetben viszont már két perc alatt elvégezhető.

Egy ideje ismert a tudósok körében, hogy a számítástechnikai eszközök kommunikációs mellékcsatornáinak (például az áramfogyasztásnak és az elektromágneses kisugárzásnak) a vizsgálata alapján információkat lehet szerezni a készülék belső műveleteiről.

A titkosítási algoritmusokat futtató csipkártyák jó részét azonban úgy tervezték, hogy megakadályozza az információk effajta kiszivárgását. A legtöbb GSM hálózatban olyan chipkártyákat alkalmaznak, amelyek az úgynevezett COM128 titkosító-algoritmust vagy annak valamelyik származékát alkalmazzák a felhasználók azonosítására, az üzenetváltások és tranzakciók biztonságossá tételére.

Ha egy hacker birtokába jut a mobiltelefon SIM kártyájában lévő kulcsnak, lehetősége nyílik rá, hogy a tulajdonos számlájára telefonálgasson, nevében járjon el, illetve indíthasson üzleti tranzakciókat.

A COM128 algoritmus futásakor hatalmas táblázatokból kell kikeresni értékeket. Ez a SIM kártyákhoz hasonló egyszerű eszközökön csak olyan komplikált módszerekkel érhető el, amelyek azt eredményezik, hogy rengeteg bizalmas információ szivárog át a mellékcsatornákba. A támadás végrehajtásához mindössze arra van szükség, hogy a kártyával hétszer lefuttassák az ismeretlen kulcsot használó algoritmust. Ha egy hacker csupán két percre is hozzájut a SIM kártyához, gond nélkül kinyerheti abból a teljes kódot. Takako Yamakura, az IBM kutatócsoportjának sajtómenedzsere a Magyar Hírlapnak elmondta, a mellékcsatornákon keresztül történt SIM-klónozásról, -hamisításról nem készült eddig felmérés, ám mivel a világ mobilhálózatának 70 százaléka GSM rendszerű, a biztonsági hiba miatt pillanatok alatt tömegessé válhat a klónprobléma.

Tavaly a Frost&Sullivan elemző szerint összesen 380 millió SIM kártyát adtak el a gyártók, 1,4 milliárd dollár értékben. A GSM rendszerekhez használt titkosító-algoritmus sérülékenysége közismert - nyilatkozta a Wall Street Journalnak Xavier Chanay, a francia SchlumbergerSema, a világ első számú SIM kártyákat gyártó cégének az alelnöke -, ám a veszély, hogy ezt kihasználják kicsi. Az Ázsiában és Észak-Amerikában található kártyák felét, az európai lapocskák 30 százalékát a SchlumbergerSema szállítja. A második legnagyobb világpiaci szereplő a Gemplus SA. Magyarországra a Magyar Hírlap információi szerint mindkettő és a német Oberthur vállalat szállít mobilokba való lapocskákat.

Az IBM érdekelt abban, hogy megkongassa a SIM-ek feletti vészharangot. Az általa felfedezett biztonsági rést ugyanis akkor hozta nyilvánosságra, amikor az ellenszerét - azaz egy védelmet adó szoftvert - kifejlesztette. Az eljárás ráadásul kevés tárolókapacitást igényel, így egyszerűen alkalmazható mindenféle kis memóriájú eszköz (így a mobiltelefonok) ilyesfajta védelmére.

A SIM-klónozás bár körülményes, de nem kivitelezhetetlen. Kell hozzá egy kártyaolvasó, egy számítógép vagy hordozható laptop és egy szoftver. Yamakura szerint az egész felszerelés beszerzése nem drága, ha valakinek van számítógépe, a kártyaolvasó megvásárlása már csak 20-40 dolláros kiadást jelent.

A magyarországi mobilszolgáltatók nem tartották hihetőnek az IBM bejelentését

A Westel Mobil Távközlési Rt.-nél nem kívánták a hírt kommentálni, a Pannon GSM Rt. egyenesen kacsának minősítette a SIM-klónozásról szóló hírt. A Vodafone márkanéven szolgáltató V. R. A. M. Rt.-nél azt is elmondták: nem hallottak róla, hogy itthon ilyen jellegű hamisításra akár egyszer is példa lett volna.

A Vodafone egyébként saját - a standard GSM algoritmustól eltérő - kriptográfiai kódját használja. A hazai hálózatok egyébként nem teszik lehetővé az azonos előfizetői szám alatt, ám két SIM kártyával történő hívásokat. (Skandináviában van ilyen szolgáltatás.) Igaz, a SIM-klónozók általában nem is az előfizetővel párhuzamosan használják másolt kártyáikat.

(Magyar Hírlap)

Ajánlat:

Pannon GSM

Westel

Vodafone


Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!