Tietoturva

Sim-murto uhkaa satoja miljoonia puhelimia – tilanne tongitaan Suomessa

Julkaistu: , Päivitetty:

Vanhojen sim-korttien salaus voidaan murtaa tekstiviestillä, jonka jälkeen rikolliset voivat esiintyä puhelimen haltijana. Näin väittää tunnettu saksalainen tietoturvatutkija. Viranomaiset selvittävät parhaillaan ongelman laajuutta Suomessa.


Saksalaistutkija Karsten Nohl väittää rikkoneensa matkapuhelinten sim-korttien salauksen, eli niin sanotun DES-koodin, jolla puhelimet muun muassa yksilöidään.

Sim-kortit ovat kriittisiä matkapuhelinliikenteelle, koska ne takaavat kaikille käyttäjille yksilöllisyyden ja mahdollisuuden käyttää puhelimia turvallisesti.

Nohlin tutkimuksen ennakkotiedoista kertoi viikonloppuna muun muassa The New York Times -sanomalehti. Nohl johtaa tietoturvaan keskittyvää Security Research Labs -yhtiötä.

DES-salaus on ollut käytössä sim-korteissa vuosikymmeniä. Salaustapa kehitettiin 1970-luvulla. Sen jälkeen on kehitetty turvallisempi salauskoodi tripla-DES, joka on käytössä uusimmissa sim-korteissa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Viestintävirasto ja suomalaisoperaattorit alkoivat selvittää Nohlin tutkimustulosten julkistamisen jälkeen, kuinka paljon Suomessa on käytössä DES-salauksella varustettuja sim-kortteja, Viestintäviraston tilannekeskuksen Cert-fi:n erityisasiantuntija Kristian Selèn kertoo Taloussanomille.

– Emme tiedä, kuinka paljon Suomessa on käytössä DES-salauksen sim-kortteja. Lähetimme operaattoreille kyselyn välittömästi. Tietysti voi spekuloida, että jos on uusi puhelin ja liittymä, sim-kortissa on luultavasti tripla-DES, joka on ollut alan standardi yli kymmenen vuotta. Jos on hyvin vanha puhelin ja liittymä, riski on suurempi.

Mobiili-identiteetin
kaappaus


Nohlin on määrä esittää tarkat tutkimustuloksensa 31. heinäkuuta Las Vegasissa järjestettävässä konferenssissa. Cert-fi:n Selén kehottaa siihen asti olemaan hätäilemättä.

– Suomalaisilla ei ole syytä paniikkiin. Kannattaa odottaa tutkimusta, mitä tämän DES-salauksen rikkomisen hyödyntäminen vaatii.

Nohlin tutkimustiimi pystyi rikkomaan DES-salauksen lähettämällä kännyköihin tekstiviestejä, jotka oli väärennetty muistuttamaan operaattoreiden lähettämiä tekstiviestejä. Noin yksi neljäsosa sim-korteista vastasi lähettämällä tekstiviestin, josta tutkijat pystyivät selvittämään kortin 56-merkkisen yksilöllisen allekirjoituksen. Näin sim-kortin hallintamekanismin suojaus murrettiin.


Tutkijat selvittivät virhettä noin tuhannella puhelimella kahden vuoden aikana Euroopassa ja Pohjois-Amerikassa. Kolmessa neljästä puhelimista ei ollut virhettä, vaan ne tunnistivat tutkijoiden lähettämän viestin väärennetyksi.

– Tutkijat myös rikkoivat sim-korttien sandboxin eli sen, että sim-kortille asennetut sovellukset eivät kommunikoi keskenään, Selén selventää.

Käytännössä tietoturva-aukko mahdollistaa sim-kortin kaappaamisen. Rikolliset voivat muun muassa ottaa käyttöönsä kortilla olevia sovelluksia tai kerryttää laskua lähettelemällä tekstiviestejä palvelunumeroihin. Sim-kortin kaappaaminen mahdollistaa myös esiintymisen toisen henkilön nimissä.

Vanhat sim-kortit
uusiksi?


Cert-fi:n Selénin mukaan Nohlin tutkimustulokset ovat aiemmin olleet uskottavia, eikä tuoretta tutkimustakaan ole syytä epäillä. Aiemmin Nohl on selvittänyt muun muassa gsm-teknologian tietoturvaongelmia.

Nohlin tutkijaryhmän tulokset on luovutettu suurille eurooppalaisille sim-korttivalmistajille, New York Times kertoo. Nohl arvioi lehdessä, että noin 750 miljoonaa matkapuhelinta maailmanlaajuisesti voi olla alttiita DES-salauksen rikkomiselle.

Selénin mukaan hyökkäykselle altistuminen riippuu sim-kortista, ei puhelintyypistä. Uusissa puhelimissa on kuitenkin todennäköisemmin käytössä tripla-DES-salauksella varustettu sim-kortti.

Tietoturva-aukon tukkimiseksi Nohl ehdottaa muun muassa kaikkien yli kolme vuotta vanhojen sim-korttien uusimista.

Kommentit

    Näytä lisää