23 jul. 2013
1 minuut
In elke telefoon zit een SIM-kaart en je zou mogen verwachten dat zo’n overal gebruikt standaardproduct ongevoelig is voor illegale toegang. Niets is minder waar, ontdekte de Duitse onderzoeker Karsten Nohl van Security Research Labs – die jaren geleden al een gat ontdekte in de GSM-encryptie en die ook de Nederlandse OV-kaart onderzocht. Nohl ontdekte dat sommige SIM-kaarten met slechts een paar SMS-berichten zijn te kraken.
Nohl zei dat hij na het verzenden van zijn tekstberichtje in ongeveer een kwart van de gevallen een error-boodschap terug ontving met alle informatie die nodig is om de digitale sleutel van de SIM af te leiden. Met die kennis kan een andere tekst worden verzonden die het ‘slot opent’ waardoor hij kan meeluisteren met gesprekken, berichten kan verzenden, mobiel aankopen kan doen en allerlei data kan stelen.
Blijkbaar is dit alles mogelijk "binnen twee minuten, met een eenvoudige personal computer", maar het werkt alleen bij SIM’s die de oudere data-encryptiestandaard (DES) bevatten. Kaarten met de nieuwere Triple DES zijn veilig; de andere driekwart herkendenNohl’s bericht als kwaadaardig.
Er zijn geen exacte cijfers over het aantal risico-SIM’s, maar Nohl schat dat het gaat om 750 miljoen kaarten. Hij stuurde de resultaten van zijn test naar de GSM Association die ze weer heeft doorgegeven naar providers en SIM-fabrikanten die DES gebruiken. Overigens werd de oude DES-algoritme toch al als onveilig bestempeld: de 56-bit sleutel zou ook met ‘brute kracht’ tegenwoordig wel zijn te kraken.
Nohl is van plan volledige openheid van zaken te geven op de aanstaande Black Hat meeting. En als de veiligheidsdiensten willen meeluisteren: daarvoor zijn nog toegangskaarten beschikbaar.
bron: Engadget
Anderen lazen ook
