7月22日消息,據(jù)國外媒體報道,一安全研究人員發(fā)現(xiàn)部分移動SIM卡所使用的加密方式存在一個安全漏洞,可能會導(dǎo)致手機被黑客遠程控制。該漏洞涉及使用DES數(shù)據(jù)加密標(biāo)準(zhǔn)的SIM卡——DES是一種較舊的標(biāo)準(zhǔn),目前正被部分廠商逐步淘汰,但仍有數(shù)億張SIM卡使用。
德國安全研究公司Security Research Labs創(chuàng)始人卡斯滕·諾爾(Karsten Nohl)發(fā)現(xiàn),向手機發(fā)送假冒的運營商信息,促使25%的DES SIM卡自動回復(fù)暴露它們的56位安全密鑰的信息。有了該安全密鑰,諾爾能夠通過短信向SIM卡發(fā)送病毒。該病毒可讓他假冒機主,攔截短信,甚至進行運營商支付。《紐約時報》援引諾爾的話稱,用普通的PC采取整個行動大約需要兩分鐘。
在過去的兩年里,諾爾在北美和歐洲約1000張SIM卡上對其方法進行了測試。DES為全球約30億張移動SIM卡所使用,諾爾估計其中7.5億張容易受到攻擊。很多運營商都在使用采用更加強勁的三重DES加密方法的SIM卡,這種卡不易受到諾爾的上述攻擊。DES則正逐步被淘汰,以利于高級加密標(biāo)準(zhǔn)(AES)的推行。
諾爾已經(jīng)向全球移動通信協(xié)會(GSMA)披露上述漏洞。GSMA也已向所涉的SIM卡廠商和其它公司發(fā)出通知,這些公司均在分析尋找解決該漏洞的最佳方案。諾爾將在8月1日的Black Hat安全大會上詳述他的攻擊方法。他還計劃在12月發(fā)布一份詳細(xì)介紹各家移動運營商SIM卡安全性的“比較表”。
