Bir Alman mobil güvenlik uzmanı yaklaşık 750 milyon SIM kartı etkileyen bir güvenlik açığı tespit etti. SIM kartların şifreleme standardında yer alan açık sayesinde hacker’lar cep telefonlarını ele geçirip kontrol edebiliyor.
New York Times‘ın haberine göre Security Research Labs’ın kurucusu olan Karsten Nohl’un ortaya çıkardığı güvenlik açığı, DES (Veri Şifreleme Algoritması) teknolojisini kullanan SIM kartlarda bulunuyor. Bu eski bir şifreleme standardı olsa da hala milyonlarca SIM kartta kullanılıyor.
Nohl’un sahte bir operatör mesajı gönderdiği DES SIM karta sahip bir telefondan aldığı otomatik cevap, kartın 56-bit güvenlik anahtarını ortaya çıkardı. Bu anahtarı kullanan Nohl, SMS ile SIM’e virüs bulaştırarak telefonu ele geçirmeyi başardı. Virüs sayesinde gerçek telefon kullanıcısının yerine geçen Nohl, SMS’lere müdahale edebildi ve hatta cihaz üzerinden ödeme bile yapabildi. Üstelik Nohl’un tüm telefonu ele geçirmesi sadece iki dakikasını aldı.
Nohl’un ortaya çıkardığı bu SIM güvenlik açığı aslında telefonlarımızın ve hatlarımızın ne kadar büyük bir tehlike altında olduğunu gösteriyor. DES şifreleme sisteminin yaklaşık üç milyar SIM kartta yer aldığı düşünülürse, Nohl’un tahminine göre 750 milyon mobil kullanıcı bu açıktan zarar görme riskiyle karşı karşıya. Ancak daha geliştirilmiş DES şifreleme teknolojisi kullanan ve AES (Geliştirilmiş Şifreleme Standardı) ile şifrelenmiş SIM kartlar bu metotla hackerların hedefi olmaktan kurtulabiliyor.
Tespit edilen ve büyük bir tehlike arz eden bu güvenlik açığı GSM operatörleri ve SIM kart üreticilerine bildirildi. Nohl hangi GSM operatörlerinin bu SIM kartları kullandığını açıklamamayı tercih ederken mobil kullanıcılar büyük bir endişe içinde. Zira eğer SIM kartları bu şifreleme standardıyla geliştirilmişse telefonlarının saldırıya uğraması an meselesi.
sn Duygu Aslan; “..mobil kullanıcılar büyük bir endişe içinde…” derken beni ve çevremdeki insanları da kastettiniz mi? Biz endişe içinde değiliz kamuoyuna duyurulur.
Merhaba Duygu Hnm,
GSM operatörleri DES mi AES mi hangi şifrelemeyi kullandıkları bilgisini nerden alabileceğiz?