Saksalaistutkija rikkoi SIM-kortin salauksen – viranomaiset selvittävät ongelman laajuutta Suomessa - Tietoturva - Ilta-Sanomat

Sim-murto uhkaa satoja miljoonia puhelimia – tilanne tongitaan Suomessa

Vanhojen sim-korttien salaus voidaan murtaa tekstiviestillä, jonka jälkeen rikolliset voivat esiintyä puhelimen haltijana. Näin väittää tunnettu saksalainen tietoturvatutkija. Viranomaiset selvittävät parhaillaan ongelman laajuutta Suomessa.

Riski on suurempi, jos käytössä on "hyvin vanha puhelin ja liittymä".­

22.7.2013 13:55 | Päivitetty 22.7.2013 13:55

Saksalaistutkija Karsten Nohl väittää rikkoneensa matkapuhelinten sim-korttien salauksen, eli niin sanotun DES-koodin, jolla puhelimet muun muassa yksilöidään.

Sim-kortit ovat kriittisiä matkapuhelinliikenteelle, koska ne takaavat kaikille käyttäjille yksilöllisyyden ja mahdollisuuden käyttää puhelimia turvallisesti.

Nohlin tutkimuksen ennakkotiedoista kertoi viikonloppuna muun muassa The New York Times -sanomalehti. Nohl johtaa tietoturvaan keskittyvää Security Research Labs -yhtiötä.

DES-salaus on ollut käytössä sim-korteissa vuosikymmeniä. Salaustapa kehitettiin 1970-luvulla. Sen jälkeen on kehitetty turvallisempi salauskoodi tripla-DES, joka on käytössä uusimmissa sim-korteissa.

Viestintävirasto ja suomalaisoperaattorit alkoivat selvittää Nohlin tutkimustulosten julkistamisen jälkeen, kuinka paljon Suomessa on käytössä DES-salauksella varustettuja sim-kortteja, Viestintäviraston tilannekeskuksen Cert-fi:n erityisasiantuntija Kristian Selèn kertoo Taloussanomille.

– Emme tiedä, kuinka paljon Suomessa on käytössä DES-salauksen sim-kortteja. Lähetimme operaattoreille kyselyn välittömästi. Tietysti voi spekuloida, että jos on uusi puhelin ja liittymä, sim-kortissa on luultavasti tripla-DES, joka on ollut alan standardi yli kymmenen vuotta. Jos on hyvin vanha puhelin ja liittymä, riski on suurempi.

Mobiili-identiteetinkaappaus

Nohlin on määrä esittää tarkat tutkimustuloksensa 31. heinäkuuta Las Vegasissa järjestettävässä konferenssissa. Cert-fi:n Selén kehottaa siihen asti olemaan hätäilemättä.

– Suomalaisilla ei ole syytä paniikkiin. Kannattaa odottaa tutkimusta, mitä tämän DES-salauksen rikkomisen hyödyntäminen vaatii.

Nohlin tutkimustiimi pystyi rikkomaan DES-salauksen lähettämällä kännyköihin tekstiviestejä, jotka oli väärennetty muistuttamaan operaattoreiden lähettämiä tekstiviestejä. Noin yksi neljäsosa sim-korteista vastasi lähettämällä tekstiviestin, josta tutkijat pystyivät selvittämään kortin 56-merkkisen yksilöllisen allekirjoituksen. Näin sim-kortin hallintamekanismin suojaus murrettiin.

Tutkijat selvittivät virhettä noin tuhannella puhelimella kahden vuoden aikana Euroopassa ja Pohjois-Amerikassa. Kolmessa neljästä puhelimista ei ollut virhettä, vaan ne tunnistivat tutkijoiden lähettämän viestin väärennetyksi.

– Tutkijat myös rikkoivat sim-korttien sandboxin eli sen, että sim-kortille asennetut sovellukset eivät kommunikoi keskenään, Selén selventää.

Käytännössä tietoturva-aukko mahdollistaa sim-kortin kaappaamisen. Rikolliset voivat muun muassa ottaa käyttöönsä kortilla olevia sovelluksia tai kerryttää laskua lähettelemällä tekstiviestejä palvelunumeroihin. Sim-kortin kaappaaminen mahdollistaa myös esiintymisen toisen henkilön nimissä.

Vanhat sim-kortituusiksi?

Cert-fi:n Selénin mukaan Nohlin tutkimustulokset ovat aiemmin olleet uskottavia, eikä tuoretta tutkimustakaan ole syytä epäillä. Aiemmin Nohl on selvittänyt muun muassa gsm-teknologian tietoturvaongelmia.

Nohlin tutkijaryhmän tulokset on luovutettu suurille eurooppalaisille sim-korttivalmistajille, New York Times kertoo. Nohl arvioi lehdessä, että noin 750 miljoonaa matkapuhelinta maailmanlaajuisesti voi olla alttiita DES-salauksen rikkomiselle.

Selénin mukaan hyökkäykselle altistuminen riippuu sim-kortista, ei puhelintyypistä. Uusissa puhelimissa on kuitenkin todennäköisemmin käytössä tripla-DES-salauksella varustettu sim-kortti.

Tietoturva-aukon tukkimiseksi Nohl ehdottaa muun muassa kaikkien yli kolme vuotta vanhojen sim-korttien uusimista.

Osion tuoreimmat

Luitko jo nämä?