智慧型手機容易受到惡意軟體的攻擊,營運商也默許政府機關窺視,但至少手機的SIM卡仍是安全的、無法被駭的,但如今,那道最固若金湯的牆還是被攻破了!德國手機安全專家卡斯滕‧諾爾(Karsten Nohl),在經過多年的研究後,找到SIM卡的加密和軟體漏洞,而他也將在洛杉磯的黑帽(Black Hat)駭客會議上,公開自己的發現。
全球目前有60億隻手機,大約有一半採用數據加密標準(Data Encryption Standard, DES),但諾爾稱此加密方法的數字密鑰容易被破解,為主要的漏洞之一。他指出一種較不常用、卻潛在被駭風險的SIM卡功能擴充方法──利用SMS簡訊更新的OTA(over-the-air)方式,由於其指令是以加密訊息直接傳送給SIM卡,若加密技術採用過時的DES(數據加密標準,Data Encryption Standard)方法,而非採用較好的AES(進階加密標準,Advanced Encryption Standard)加密,駭客很容易就可破解SIM卡裡的56位元DES金鑰。
諾爾在兩年內對歐洲和北美有網路使用的1,000張SIM卡進行測試(這些SIM卡都屬於他本人或研究團隊的),他假借營運商的身分,發送SMS給採用DES的手機用戶,有3/4被認定為虛假簽名並停止回應,但有1/4的手機會向諾爾發送附加解密訊息的錯誤碼,裡面包括手機的加密數位簽名。雖然數位簽名已經做了加密處理,但諾爾仍然能夠從中破譯SIM卡的數字密鑰。
全球將有7.5億支手機安全性受到影響
而所造成的影響極為巨大,一旦不法之徒拿到這組數列,他們就可以透過簡訊傳送病毒或惡意程式到手機SIM卡上,藉以偷取重要資訊,如賬單費用,甚至綁架手機,或冒充手機持有人做任何事,例如進行網路交易或銀行轉帳等,預計將有7.5億支手機受到影響。
針對諾爾提出的SIM卡漏洞問題,國際電信聯盟已向全球約200個成員國的電訊監管機構發出通知,警告手機技術出現嚴重漏洞,也會通報數以百計手機公司、學術界人士和業界專家,另外一些SIM卡製造商也開始針對此問題進行研究。
