Er zijn ongeveer 750 miljoen simkaarten dusdanig slecht beveiligd dat er telefoons mee gehackt kunnen worden, aldus beveiligingsonderzoeker Karsten Nohl.
Simkaarten slecht beveiligd
De Duitser vond een zwakte in de encryptie die gebruikt worden door oudere simkaarten. Volgens de onderzoeker kan er met behulp van een sms een virus worden verzonden naar de simkaart, waardoor het mogelijk wordt om gesprekken en sms’jes af te tappen. Daarnaast kunnen er telefoongegevens worden gestolen. Ongeveer de helft van alle 6 miljard mobieltjes maken gebruik van de zogeheten DES-encryptie. Nohl heeft ongeveer 1000 DES-simkaarten getest, waarvan er een kwart gehackt kon worden. Daarom vermoedt hij dat er wereldwijd zo’n 750 miljoen mobiele telefoons kwetsbaar zijn.
Encryptiesleutel simkaarten
De telefoons kunnen worden gehackt door de encryptiesleutel te achterhalen. Dit is Nohl gelukt door een sms te versturen onder de naam van de provider. Bij ontvangst van een dergelijk bericht dienen het netwerk en de telefoon zich te verifiëren. Driekwart van de geteste simkaarten hadden door dat het om een vals bericht ging en verbraken de verbinding. De overige simkaarten lieten de telefoon een foutmelding sturen naar het namaaknetwerk, waardoor de encryptiesleutel zichtbaar was voor de onderzoeker. Met behulp van deze 56-cijferige code kon er worden ingebroken in de simkaart.
Advies
Nohl heeft de branchevereniging van de mobiele industrie, GSM Association, inmiddels op de hoogte gesteld van zijn resultaten. Daarnaast hebben verschillende producenten van simkaarten de resultaten van het onderzoek reeds onder ogen gekregen. Nohl geeft aan dat providers beter kunnen overstappen op simkaarten die gebruik maken van nieuwere versleutelingstechnieken. Veel providers maken al gebruik van de zogeheten Triple DES- beveiliging. De Duitser kiest ervoor om niet bekend te maken hoe verschillende providers hebben gescoord bij de test. Wel adviseert hij consumenten om een andere simkaart aan te schaffen indien de huidige simkaart ouder is dan drie jaar.
Nohl geeft op 31 juli een presentatie op de Amerikaanse editie van de Black Hat beveiligingsconferentie over de resultaten van het onderzoek. Volgens de aankondiging zal hij daar “afrekenen met de mythe dat simkaarten onkraakbaar zijn”. Op 3 augustus geeft hij een presentatie op het hackerskamp OHM 2013 in Geestmermambacht in Noord- Holland.
Bron: NuTech