simkaarten

Smartphones vatbaar voor hacken door verborgen fout in simkaart

Internetcriminaliteit is een big issue en het nieuws staat bol van verhalen over cyberaanvallen. Nu blijkt dat ook een groot aantal smartphones potentieel doelwit is van hackers. Wereldwijd zit er in miljoenen simkaarten een verborgen fout die het voor cybercriminelen mogelijk maakt om beveiligingscodes te kraken en zo op allerlei beveiligde websites te loggen.

Dat meldt onderzoeksbureau Security Research Labs in Berlijn. Daar ontdekte men dat hackers door een fout in zo’n 500 miljoen simcards de encryptiesleutel kunnen bemachtigen waarin de inloggegevens van de gebruiker worden bewaard. Vervolgens kunnen ze een identieke kopie van de simkaart maken waarmee ze niet alleen kunnen bellen en sms-berichten versturen, maar die ze ook kunnen gebruiken om in te loggen op bijvoorbeeld websites waar betalingsverkeer plaatsvindt en andere sites die gevoelige informatie bevatten.

“We hebben een enorm aantal simkaarten weten te kraken, en goed ook. We kunnen de kaarten infecteren, er sms’jes mee versturen, telefoongesprekken voeren, encryptiesleutels ontcijferen en de kaarten nog verder kraken om betalingsgegevens te stelen of zelfs de gehele simkaart te klonen. En dat allemaal op afstand, puur op basis van een telefoonnummer”, aldus Karsten Nohl, hoofdonderzoeker van SRL.

Op dit moment is er dus nog geen sprake van daadwerkelijke schade, maar we moeten voorzichtig zijn. Het gevaar zit hem in de update-notificaties die de providers naar smartphones sturen, deze kunnen door de hackers namelijk worden gebruikt om de informatie te verkrijgen. De telefoon van het slachtoffer stuurt automatisch een foutmelding terug waarin de, niet onomstreden, (DES-sleutel (Data Encryption Standard) wordt prijsgegeven. Vervolgens kan de hacker een ‘geldige’ update-notificatie sturen die een Java-applicatie installeert waarmee alle gewenste gegevens van de simkaart kunnen worden ontvreemd. In Java zijn de afgelopen jaren de nodige lekken omtrent beveiliging ontdekt, zoals ook in de laatste versie van de Java software, wat waarschijnlijk ook ten dele de oorzaak is van de duidelijk grotere beschikbaarheid in Java vacatures en de vraag naar meer expertise op dit gebied.

Om veiligheidsredenen wil men niet zeggen om welke merken simkaarten het precies gaat. Als gebruiker kun je er op dit moment dan ook nog vrij weinig tegen doen. Het dringende advies van SRL aan simkaartfabrikanten is echter om beter simkaarten te ontwikkelen met beter beveiligde Java-applicaties. De techniek bestaat (nagenoeg) al, maar het zal enige tijd duren voordat alle zwakke simkaarten zijn vervangen. Het bieden van een sms-firewall op het toestel zelf is bovendien een must, evenals een betere filter tegen malafide sms-berichten in het netwerk zelf. Gek genoeg bestaat dit nog maar bij weinig providers.

Labels:, ,

Trackback van jouw site.

Laat een reactie achter